本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS 服务 你可以和它一起使用 AWS Organizations 可与 Organizations 搭配使用的服务 借助 AWS Organizations 此功能,您可以 AWS 账户 将多个账户整合到一个组织中,从而大规模执行账户管理活动。合并账户可简化您使用其他账户的方式 AWS 服务。您可以利用 selec AWS 服务 t 中 AWS Organizations 提供的多账户管理服务,对属于您组织的所有成员账户执行任务。 下表列出了 AWS 服务 您可以与一起使用的服务 AWS Organizations,以及在组织范围内使用每项服务的好处。 **可信访问**-您可以启用兼容的 AWS 服务,以便在组织 AWS 账户 中的所有部门执行操作。有关更多信息,请参阅 [与其他 AWS Organizations 人一起使用 AWS 服务](orgs_integrate_services.md)。 **的委托管理员 AWS 服务**-兼容的 AWS 服务可以将组织中的 AWS 成员账户注册为该服务中组织账户的管理员。有关更多信息,请参阅 [委托管理员与 Org AWS 服务 anizations 合作](orgs_integrate_delegated_admin.md)。 **** | AWS 服务 | 搭配使用的好处 AWS Organizations | 支持可信访问 | 支持委托管理员 | | --- | --- | --- | --- | | [AWS 账户管理](services-that-can-integrate-account.md) 管理组织所有内容 AWS 账户 的详细信息和元数据。 | 管理组织 AWS 账户 中所有人的账户详情、备用联系人和区域。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-account.md#integrate-enable-ta-account) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-account.md#integrate-enable-da-account) | | [AWS Application Migration Service](services-that-can-integrate-application-migration.md) AWS Application Migration Service 允许公司 lift-and-shift访问 AWS 大量物理、虚拟或云服务器,而不会出现兼容性问题、性能中断或转换窗口过长。 | 您可以管理跨多个账户的大规模迁移任务。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-application-migration.md#integrate-enable-ta-application-migration) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-application-migration.md#integrate-enable-da-application-migration) | | [AWS Artifact](services-that-can-integrate-artifact.md) 下载 AWS 安全合规性报告,例如 ISO 和 PCI 报告。 | 您可以代表您组织内的所有账户接受协议。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-artifact.md#integrate-enable-ta-artifact) | ![\[No\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-no.png) 否 | | [AWS Audit Manager](services-that-can-integrate-audit-manager.md) 自动化持续收集证据,以帮助您审核云服务的使用情况。 | 持续审计您组织中多个账户的 AWS 使用情况,以简化评估风险和合规性的方式。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-audit-manager.md#integrate-enable-ta-audit-manager) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-audit-manager.md#integrate-enable-da-audit-manager) | | [AWS Backup](services-that-can-integrate-backup.md) 管理和监控您组织中的所有账户的备份。 | 您可以为整个组织配置和管理备份计划,也可以为组织单位中的账户组配置和管理备份计划(OUs)。您可以集中监控所有账户的备份。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-backup.md#integrate-enable-ta-backup) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#backup-delegatedadmin) | | [AWS 账单与成本管理](services-that-can-integrate-awsaccountbilling.md) 概述您的 AWS 云财务管理数据,帮助您更快、更明智地做出决策。 | 允许拆分成本分配数据检索 AWS Organizations 信息(如果适用),并收集您选择使用的分割成本分配数据服务的遥测数据。 有关更多信息,请参阅[什么是 AWS 账单与成本管理?](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html) 在 B *illing and Cost Management 用户指南*中。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-awsaccountbilling.md) | ![\[No\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-no.png) 否 | | [AWS CloudFormation Stacksets](services-that-can-integrate-cloudformation.md) 通过单个操作跨多个账户和区域创建、更新或删除堆栈。 | 管理账户或委托管理员账户中的用户可以创建具有服务托管权限的堆栈套,该堆栈套会将堆栈实例部署到您组织中的账户。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-cloudformation.md#integrate-enable-ta-cloudformation) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-cloudformation.md#integrate-enable-da-cloudformation) | | [AWS CloudTrail](services-that-can-integrate-cloudtrail.md) 允许对您的账户进行监管、合规性检查、操作审核和风险审计。 | 管理账户或委托管理员账户中的用户可以创建组织跟踪或事件数据存储,记录组织中所有账户的所有事件。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-cloudtrail.md#integrate-enable-ta-cloudtrail) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-cloudtrail.md#integrate-enable-da-cloudtrail) | | [Amazon CloudWatch](services-that-can-integrate-cloudwatch.md) 实时监控您的 AWS 资源和您运行 AWS 的应用程序。您可以使用 CloudWatch 来收集和跟踪指标,这些指标是您可以衡量资源和应用程序的变量。 | 与 Organizations 集成有两个好处 CloudWatch。首先,通过与 Organizations 集成,您可以使用 CloudWatch CloudWatch 控制台的中央视图发现和了解 AWS 资源的遥测配置状态。 其次,当您可以使用 Network Flow Monitor CloudWatch 来查看网络性能指标时,通过与 Organizations 集成,您可以查看多个账户中资源的网络性能信息,而不仅仅是一个帐户。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-cloudwatch.md#integrate-enable-ta-cloudwatch) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-cloudwatch.md#integrate-enable-da-cloudwatch) | | [AWS Compute Optimizer](services-that-can-integrate-compute-optimizer.md) 获取 AWS 计算优化建议。 | 您可以分析组织账户中的所有资源以获取优化建议。 有关更多信息,请参阅《AWS Compute Optimizer 用户指南》**中的 [Compute Optimizer 支持的账户](https://docs.aws.amazon.com/compute-optimizer/latest/ug/getting-started.html#supported-accounts)。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-compute-optimizer.md#integrate-enable-ta-compute-optimizer) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-compute-optimizer.md#integrate-enable-da-compute-optimizer) | | [AWS Config](services-that-can-integrate-config.md) 评估、审计和评价您的 AWS 资源的配置。 | 您可以在组织范围内查看合规性状态。您还可以使用 [AWS Config API 操作](https://docs.aws.amazon.com/config/latest/APIReference/welcome.html)来管理组织 AWS 账户 中所有部门的 AWS Config 规则和一致性包。 您可以使用委托管理员账户聚合 AWS Organizations中组织所有成员账户中的资源配置和合规性数据。有关更多信息,请参阅 AWS Config 开发人员指南中的[注册委托管理员](https://docs.aws.amazon.com/config/latest/developerguide/aggregated-register-delegated-administrator.html)。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-config.md#integrate-enable-ta-config) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 了解更多: [Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) [一致性包](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html) [多账户多区域数据聚合](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) | | [AWS Control Tower](services-that-can-integrate-CTower.md) 设置和管理安全、合规的多账户 AWS 环境。 | 您可以为所有 AWS 资源设置 landing zone,即多账户环境。该环境包括一个组织和组织实体。您可以使用此环境对所有人强制执行合规性法规 AWS 账户。 有关更多信息,请参阅《*AWS Control Tower 用户指南*》中的 [ 操作方法 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/how-control-tower-works.html)和[通过 AWS Organizations管理账户](https://docs.aws.amazon.com/controltower/latest/userguide/organizations.html)。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html) | ![\[No\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-no.png) 否 | | [AWS 成本优化中心](services-that-can-integrate-coh.md) 收集各 AWS 优化产品的成本建议。 | 您可以轻松识别、筛选和汇总跨 AWS Organizations 成员账户和 AWS 地区 AWS 的成本优化建议。 有关更多信息,请参阅《成本优化中心用户指南》中的 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/cost-optimization-hub.html)**。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-coh.md#integrate-enable-ta-coh) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-coh.md#integrate-enable-da-coh) | | [Amazon Detective](services-that-can-integrate-detective.md) 可从日志数据生成可视化,以分析、调查和快速识别安全结果或可疑活动的根本原因。 | 您可以将 Amazon D AWS Organizations etective 与集成,确保您的侦探行为图能够让您了解所有组织账户的活动。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-detective.md#integrate-enable-ta-detective) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-detective.md#integrate-enable-da-detective) | | [Amazon DevOps Guru](services-that-can-integrate-devops.md) 可以分析操作数据以及应用程序指标和事件,以识别偏离正常操作模式的行为。当 DevOps Guru 检测到操作问题或风险时,用户会收到通知。 | 您可以与集成 AWS Organizations ,以管理整个组织中所有账户的见解。您可以委托一位管理员来查看、排序和筛选来自所有账户的见解,以获取所有受监控的应用程序在组织范围内的运行状况。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-devops.md#integrate-enable-ta-devops) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-devops.md#integrate-enable-da-devops) | | [AWS Directory Service](services-that-can-integrate-directory-service.md) 在 AWS 云端设置和运行目录,或者将你的 AWS 资源与现有的本地 Microsoft Active Directory 连接起来。 | 您可以 Directory Service 与集成, AWS Organizations 以便在一个区域内的多个账户和任何 VPC 之间实现无缝目录共享。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-directory-service.md#integrate-disable-ta-directory-service) | ![\[No\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-no.png) 否 | | [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-account.html) 实时监控您的 AWS 资源和您运行 AWS 的应用程序。 | 您可以允许在组织中的所有账户之间共享所有亚马逊 EventBridge 活动(以前称为 Amazon CloudWatch Events)。 有关更多信息,请参阅[亚马逊* EventBridge 用户指南 AWS 账户中的在两者之间发送和接收亚马逊 EventBridge *事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-account.html)。 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-no.png) 否 | | [Amazon Elastic Compute Cloud](services-that-can-integrate-ec2.md) Amazon VPC IP 地址管理器 (IPAM) 在云中提供按需、可扩展的 AWS 计算容量。 | 使用声明性策略功能时,让 Organizations 管理员能够为其组织中的账户创建现有配置的报告。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-ec2.md#integrate-enable-ta-ec2) | ![\[No\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-no.png) 否 | | [EC2 容量管理器](services-that-can-integrate-ec2-capacity-manager.md) EC2 容量管理器聚合后,可以查看、分析和管理 EC2 按需型实例、竞价型实例和容量预留的容量使用情况。 | 使用 EC2 Capacity Manager 与 AWS 组织集成,您可以查看、分析和管理整个组织的容量使用情况。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-ec2-capacity-manager.md#integrate-enable-ta-ec2-capacity-manager) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-ec2-capacity-manager.md#integrate-enable-da-ec2-capacity-manager) | | [Amazon Elastic Kubernetes Service](services-that-can-integrate-eks.md) Amazon EKS 控制面板提供云端 Kubernetes 集群的汇总可见性和管理。 AWS | 让 Organizations 管理员能够查看有关集群资源的整合控制面板数据,包括整个组织的版本分发、运行状况和升级要求。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-eks.md#integrate-enable-ta-eks) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-eks.md#integrate-enable-da-eks) | | [AWS Firewall Manager](services-that-can-integrate-fms.md) 跨账户和应用程序集中配置和管理 Web 应用程序防火墙规则。 | 您可以集中配置和管理组织中各个账户的 AWS WAF 规则。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-fms.md#integrate-enable-ta-fms) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-fms.md#integrate-enable-da-fms) | | [Amazon GuardDuty](services-that-can-integrate-guardduty.md) GuardDuty 是一项持续的安全监控服务,用于分析和处理来自各种数据源的信息。它使用威胁情报源和机器学习来标识您 AWS 环境中意外的和未经授权的恶意活动。 | 您可以指定一个成员账户来查看和管理 GuardDuty 组织中的所有账户。添加成员帐户会自动启用 GuardDuty 所选帐户中的这些帐户 AWS 区域。您还可以自动 GuardDuty 激活添加到组织中的新帐户。 有关更多信息,请参阅*亚马逊 GuardDuty 用户指南中的[GuardDuty 和 Or](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) ganizations*。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-guardduty.md#integrate-enable-ta-guardduty) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-guardduty.md#integrate-enable-da-guardduty) | | [AWS Health](services-that-can-integrate-health.md) 轻松了解可能影响资源性能或 AWS 服务可用性问题的事件。 | 您可以汇总组织中各个账户 AWS Health 的事件。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-health.md#integrate-enable-ta-health) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-health.md#integrate-enable-da-health) | | [AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/) 安全地控制对 AWS 资源的访问。 | 您可以使用 IAM 中[服务上次访问的数据](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html),以帮助您更好地了解组织中的 AWS 活动。您可以使用这些数据来创建和更新[服务控制策略 (SCPs)](orgs_manage_policies_scps.md),这些策略将访问权限仅限于您的组织账户使用的 AWS 服务。 有关示例,请参阅《IAM 用户指南》**中的[使用数据来细化组织部门的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html#access_policies_access-advisor-reduce-permissions-orgs)。 IAM 根访问权限管理有助您集中管理根用户凭证,并在成员账户上执行特权任务。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-iam.md#integrate-enable-ta-iam) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-iam.md#integrate-enable-da-iam) | | [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html) 分析您 AWS 环境中基于资源的策略,以确定向信任区域之外的委托人授予访问权限的任何策略。 | 您可以指定成员账户作为 IAM 访问分析器的管理员。 有关更多信息,请参阅《IAM 用户指南》**中的[启用访问分析器](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html#access-analyzer-enabling)。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html#access-analyzer-enabling) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-settings.html) | | [Amazon Inspector](services-that-can-integrate-inspector2.md) 自动扫描您的 AWS 工作负载是否存在漏洞,以发现驻留在 Amazon ECR 中的 Amazon EC2 实例和容器映像,以发现软件漏洞和意外网络泄露。 | 可以委托一位管理员来启用或禁用对成员账户的扫描、查看从整个组织汇总的结果数据、创建和管理禁止规则。 有关更多信息,请参阅*《Amazon Inspector 用户指南》*中的[使用 AWS Organizations管理多个账户](https://docs.aws.amazon.com//inspector/latest/user/managing-multiple-accounts.html)。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-inspector2.md#integrate-enable-ta-inspector2) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-inspector2.md#integrate-enable-da-inspector2) | | [AWS License Manager](services-that-can-integrate-license-manager.md) 简化将软件许可证迁移到云中的过程。 | 您可以在整个组织中启用计算资源的跨账户发现。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-license-manager.md#integrate-enable-ta-license-manager) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-license-manager.md#integrate-enable-da-license-manager) | | [Amazon Macie](services-that-can-integrate-macie.md) 使用机器学习发现您的业务关键型内容并对其进行分类,以帮助您满足数据安全和隐私要求。它会持续评估您存储在 Amazon S3 中的内容,并通知您潜在的问题。 | 您可以为您组织中的所有账户配置 Amazon Macie,以便从指定的 Macie 管理员账户跨所有账户获取 Amazon S3 中所有数据的统一视图。您可以将 Macie 配置为随着组织壮大而自动保护新账户中的资源。系统会提醒您修正整个组织中的 S3 存储桶中的策略错误配置。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-macie.md#integrate-enable-ta-macie) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-macie.md#integrate-enable-da-macie) | | [AWS Managed Services (AMS) 自助报告 (SSR)](services-that-can-integrate-managed-services.md) 从各种原生 AWS 服务收集数据,并提供对主要 AMS 产品报告的访问权限。SSR 提供的信息可用于支持运维、配置管理、资产管理、安全管理和合规性。 | 您可以启用聚合 SSR 功能,该功能允许客户通过您的管理账户或委派管理员账户查看组织中的整合自助服务报告。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-managed-services.md#integrate-enable-ta-managed-services) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-managed-services.md#integrate-enable-da-managed-services) | | [AWS Marketplace](services-that-can-integrate-marketplace.md) 一个精挑细选的数字化产品目录,您通过它可以轻松地查找、购买、部署和管理构建解决方案及运营业务所需的第三方软件、数据和服务。 | 您可以在组织中的各个账户之间共享 AWS Marketplace 订阅和购买的许可证。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-marketplace.md#integrate-enable-ta-marketplace) | ![\[No\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-no.png) 否 | | [AWS Marketplace 私人市场](services-that-can-integrate-private-marketplace.md) 为您提供广泛的可用产品目录 AWS Marketplace,以及对这些产品的精细控制。 | 使您能够创建多个私有市场体验,这些体验与您的整个组织、一个或多个账户 OUs、组织中的一个或多个账户相关联,每个账户都有自己的一套经批准的产品。您的 AWS 管理员还可以通过公司或团队的徽标、消息和配色方案将公司品牌应用于每一次私人市场体验。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-marketplace.md#integrate-enable-ta-marketplace) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-private-marketplace.md#integrate-enable-da-private-marketplace) | | [AWS Marketplace 采购见解仪表板](services-that-can-integrate-procurement-insights.md) 使您能够查看组织中所有 AWS 账户中所有 AWS Marketplace 采购的协议和成本分析数据。 | AWS Marketplace 采购见解仪表板监听组织变更,例如加入组织的账户,并汇总相应协议的数据以构建仪表板。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-procurement-insights.md#integrate-enable-ta-procurement-insights) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-procurement-insights.md#integrate-enable-da-procurement-insights) | | [AWS 网络管理器](services-that-can-integrate-network-manager.md) 使您能够跨 AWS 账户、区域和本地位置集中管理您的 AWS Cloud WAN 核心网络和 T AWS ransit Gateway 网络。 | 您可以使用组织内的多个 AWS 账户中的中转网关及其关联资源,集中管理和监控您的全球网络。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-network-manager.md#integrate-enable-ta-network-manager) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-network-manager.md#integrate-enable-da-network-manager) | | [Amazon Q 开发者版](services-that-can-integrate-amazon-q-dev.md) Amazon Q Developer 是一款由人工智能驱动的生成式对话助手,可以帮助您理解、构建、扩展和操作 AWS 应用程序。 | Amazon Q 开发者版的付费订阅版本需要 Organizations 集成。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-amazon-q-dev.md#integrate-enable-ta-amazon-q-dev) | ![\[No\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-no.png) 否 | | [AWS Resource Access Manager](services-that-can-integrate-ram.md) 与其他账户共享您拥有的指定 AWS 资源。 | 您可以在组织内共享资源,而无需交换其他邀请。您可以共享的资源包括 [Route 53 Resolver 规则](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html#resolver-overview-forward-vpc-to-network-using-rules)、按需容量预留等。 有关共享容量预留的信息,请参阅 [Amazon EC2 用户指南**](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-capacity-reservations.html)或 [Amazon EC2 用户指南**](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-capacity-reservations.html)。 有关可共享资源的列表,请参阅《AWS RAM 用户指南》**中的[可共享资源](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html)。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-ram.md#integrate-enable-ta-ram) | ![\[No\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-no.png) 否 | | [AWS 资源探索器](services-that-can-integrate-resource-explorer.md) 使用类似互联网搜索引擎的体验来探索您的资源。 | 启用多账户搜索。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-resource-explorer.md#integrate-enable-ta-resource-explorer) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-resource-explorer.md#integrate-enable-da-resource-explorer) | | [AWS Security Hub CSPM](services-that-can-integrate-securityhub.md) 查看您的安全状态, AWS 并根据安全行业标准和最佳实践检查您的环境。 | 您可以为组织的所有账户自动启用 Security Hub CSPM,包括在添加新账户时启用 Security Hub CSPM。这扩大了 Security Hub CSPM 检查和发现的覆盖范围,从而可以更准确地了解您的整体安全状况。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-securityhub.md#integrate-enable-ta-securityhub) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-securityhub.md#integrate-enable-da-securityhub) | | [Amazon S3 Storage Lens 存储统计管理工具](services-that-can-integrate-s3lens.md) 通过切实可行的建议,您可以了解 Amazon S3 Storage 使用情况和活动指标。 | 配置 Amazon S3 Storage Lens,以便了解 Amazon S3 存储使用情况和活动趋势,以及组织中所有成员账户的建议。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-s3lens.md#integrate-enable-ta-s3lens) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-s3lens.md#integrate-enable-da-s3lens) | | [AWS 安全事件响应](services-that-can-integrate-security-ir.md) AWS 安全服务,提供全天候的人工辅助安全事件支持,帮助客户快速响应网络安全事件,例如凭据盗窃和勒索软件攻击。 | 整个组织的安全覆盖范围。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-security-ir.md#integrate-enable-ta-security-ir) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-security-ir.md#integrate-enable-da-security-ir) | | [Amazon Security Lake](services-that-can-integrate-sl.md) Amazon Security Lake 可将来自云端、本地和自定义源的安全数据,集中到您账户中存储的数据湖中。 | 创建一个数据湖来收集账户中的日志和事件。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-sl.md#integrate-enable-ta-sl) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-sl.md#integrate-enable-da-sl) | | [AWS Service Catalog](services-that-can-integrate-servicecatalog.md) 创建和管理获准在 AWS上使用的 IT 服务的目录。 | 无需共享投资组合,即可更轻松地跨账户共享投资组合和复制产品 IDs。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-servicecatalog.md#integrate-enable-ta-servicecatalog) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing.html#portfolio-sharing-organizations) | | [服务配额](services-that-can-integrate-servicequotas.md) 从中央位置查看和管理您的服务*配额*(也称为*限制*)。 | 您可以创建一个配额请求模板,以在创建组织账户时自动请求提升配额。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-servicequotas.md#integrate-enable-ta-servicequotas) | ![\[No\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-no.png) 否 | | [AWS IAM Identity Center](services-that-can-integrate-sso.md) 为您的所有账户和云应用程序提供单一登录访问。 | 用户可以使用其公司凭据登录 AWS 访问门户,并访问其分配的管理账户或成员账户中的资源。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-sso.md#integrate-enable-ta-sso) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-sso.md#integrate-disable-da-sso) | | [AWS Systems Manager](services-that-can-integrate-ssm.md) 实现对 AWS 资源的可见性和控制力。 | 您可以使用 Systems Manager Explorer 同步组织 AWS 账户 中所有人的操作数据。 通过使用 Systems Manager Change Manager,您可以从委托管理员账户管理组织中所有成员账户的更改模板、批准和报告。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-ssm.md#integrate-enable-ta-ssm) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-ssm.md#integrate-enable-da-ssm) | | [AWS 用户通知服务](services-that-can-integrate-uno.md) AWS 通知的中心位置。 | 您可以在组织的各个账户中集中配置和查看通知。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-uno.md#integrate-enable-ta-uno) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-uno.md#integrate-enable-da-uno) | | [标签策略](services-that-can-integrate-tag-policies.md) 在组织账户中跨资源使用标准化标签。 | 您可以创建标签策略来定义特定资源和资源类型的标记规则,然后将这些策略附加到组织实体和账户,以强制执行这些规则。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-tag-policies.md#integrate-enable-ta-tag-policies) | ![\[No\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-no.png) 否 | | [AWS Trusted Advisor](services-that-can-integrate-ta.md) Trusted Advisor 检查您的 AWS 环境,并在有机会节省资金、提高系统可用性和性能或帮助填补安全漏洞时提出建议。 | 对组织 AWS 账户 中的所有人进行 Trusted Advisor 检查。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-ta.md#integrate-enable-ta-ta) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-ta.md#integrate-enable-da-ta) | | [AWS Well-Architected Tool](services-that-can-integrate-wat.md) AWS Well-Architected Tool 可帮助您记录工作负载的状态,并将其与最新的 AWS 架构最佳实践进行比较。 | 使 Org AWS WA Tool anizations 和 Organizations 的客户都能简化与其组织中其他成员共享 AWS WA Tool 资源的流程。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-wat.md#integrate-enable-ta-wat) | ![\[No\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-no.png) 否 | | [Amazon VPC IP 地址管理器(IPAM)](services-that-can-integrate-ipam.md) IPAM 是一项 VPC 功能,可让您更轻松地规划、跟踪和监控工作负载的 IP 地址。 AWS | 监控整个组织的 IP 地址使用情况,并在成员账户之间共享 IP 地址池。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-ipam.md#integrate-enable-ta-ipam) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-ipam.md#integrate-enable-da-ipam) | | [Amazon VPC Reachability Analyzer](services-that-can-integrate-ra.md) Reachability Analyzer 是一种配置分析工具,使您能够在虚拟私有云中的源资源和目标资源之间执行连接测试()。VPCs | 跟踪组织中各个账户的路径。 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-ra.md#integrate-enable-ta-ra) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/icon-yes.png) 是 [了解详情](services-that-can-integrate-ra.md#integrate-enable-da-ra) | # AWS 账户管理 和 AWS Organizations AWS 账户管理 AWS 账户管理 帮助您管理组织 AWS 账户 中所有人的账户信息和元数据。您可以为组织的每个成员账户设置、修改或删除备用联系人信息。有关更多信息,请参阅*《AWS 账户管理 用户指南》*中的[在您的组织中使用 AWS 账户管理](https://docs.aws.amazon.com/accounts/latest/reference/using-orgs.html)。 使用以下信息来帮助您集 AWS 账户管理 成 AWS Organizations。 ## 启用账户管理可信访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 账户管理需要具有可信访问权限, AWS Organizations 然后才能将成员账户指定为组织此服务的委托管理员。 您只能使用 Organizations 工具启用可信访问权限。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS 账户管理**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用 AWS 账户管理的可信访问权限**对话框中,键入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。 AWS 账户管理 ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS 账户管理 zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal account.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 禁用账户管理可信访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 只有 AWS Organizations 管理账户中的管理员才能使用禁用可信访问权限 AWS 账户管理。 您只能使用 Organizations 工具禁用可信访问权限。 您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **使用 Organizations 控制台禁用信任服务访问权限** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS 账户管理**。 1. 选择 **Disable trusted access(禁用信任访问权限)**。 1. 在**禁用 AWS 账户管理的可信访问权限**对话框中,键入**禁用**进行确认,然后选择**禁用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。 AWS 账户管理 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS 账户管理 ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal account.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为账户管理功能启用委托管理员账户 当您将某个成员账户指定为组织的委托管理员时,来自指定账户的用户和角色将可以管理组织内其他成员账户的 AWS 账户 元数据。如果您没有启用委托管理员账户,则这些任务只能由组织的管理账户执行。这有利于您将组织的管理与您的账户详细信息的管理分开。 **最小权限** 只有 Organizations 管理账户中的用户或角色能够将某个成员账户配置为组织的账户管理委托管理员。 有关如何配置委托策略的一般说明,请参阅 [使用创建基于资源的授权策略 AWS Organizations使用以下命令更新基于资源的授权策略 AWS Organizations](orgs-policy-delegate.md)。 ------ #### [ AWS CLI, AWS API ] 如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs,则可以使用以下命令: + AWS CLI: ``` $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal account.amazonaws.com ``` + AWS SDK:调用 Organizations `RegisterDelegatedAdministrator` 操作和成员账户的 ID 号,并将账户服务委托人标识`account.amazonaws.com`为参数。 ------ # AWS Application Migration Service (应用程序迁移服务)和 AWS Organizations AWS Application Migration Service AWS Application Migration Service 简化、加快将应用程序迁移到并降低其成本。 AWS通过 Organizations 集成,您可以使用全局视图功能来管理跨多个账户的大规模迁移。有关更多信息,请参阅《Application Migration Service 用户指南》中的 [Setting up your AWS Organizations](https://docs.aws.amazon.com/mgn/latest/ug/setting-up-organizations.html)**。 使用以下信息来帮助您集 AWS Application Migration Service 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Application Migration Service 在您组织中的组织账户内执行支持的操作。 只有在禁用 Application Migration Service 与 Organizations 之间的可信访问,或者从组织中移除该成员账户后,才能删除或修改此角色。 + `AWSServiceRoleForApplicationMigrationService ` ## Application Migration Service 使用的服务主体 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Application Migration Service 使用的服务相关角色为以下服务主体授予访问权限: + `mgn.amazonaws.com` ## 启用与 Application Migration Service 的可信访问 启用信任访问权限 启用与 Application Migration Service 的可信访问后,您可以使用全局视图功能,从而管理跨多个账户的大规模迁移。全局视图提供了可见性,并能够在不同 AWS 账户中的源服务器、应用程序和波浪上执行特定操作。有关更多信息,请参阅*AWS Application Migration Service 用户指南中的[设置 AWS Organ](https://docs.aws.amazon.com/mgn/latest/ug/setting-up-organizations.html) izations*。 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 AWS Application Migration Service 控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用 AWS Application Migration Service 控制台或工具来启用与 Organizations 的集成。这允许 AWS Application Migration Service 执行它需要的任何配置,例如创建服务所需的资源。请仅在您无法使用 AWS Application Migration Service提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 AWS Application Migration Service 控制台或工具启用可信访问,则无需完成这些步骤。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Application Migration Service**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用 AWS Application Migration Service的可信访问权限**对话框中,键入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。 AWS Application Migration Service ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS Application Migration Service zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal mgn.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 禁用与 Application Migration Service 的可信访问 禁用信任访问权限 只有 Organizations 管理账户中的管理员才可以禁用与 Application Migration Service 的可信访问。 您可以使用 AWS Application Migration Service 或 AWS Organizations 工具禁用可信访问。 **重要** 我们强烈建议您尽可能使用 AWS Application Migration Service 控制台或工具来禁用与 Organizations 的集成。这允许 AWS Application Migration Service 执行它需要的任何清理,例如删除服务不再需要的资源或访问角色。仅当您无法使用 AWS Application Migration Service提供的工具禁用集成时,才会使用这些步骤进行处理。 如果您使用 AWS Application Migration Service 控制台或工具禁用可信访问,则无需完成这些步骤。 您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **使用 Organizations 控制台禁用信任服务访问权限** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Application Migration Service**。 1. 选择 **Disable trusted access(禁用信任访问权限)**。 1. 在**禁用 AWS Application Migration Service的可信访问权限**对话框中,键入**禁用**进行确认,然后选择**禁用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。 AWS Application Migration Service ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS Application Migration Service ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal mgn.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为 Application Migration Service 启用委派管理员账户 启用委托管理员 将成员账户指定为组织的委派管理员后,该账户中的用户和角色将能够执行本来只能由组织管理账户中的用户或角色执行的 Application Migration Service 管理操作。这有助于将组织的管理与 Application Migration Service 的管理分开。有关更多信息,请参阅《Application Migration Service 用户指南》中的 [Setting up your AWS Organizations](https://docs.aws.amazon.com/mgn/latest/ug/setting-up-organizations.html)**。 **最小权限** 只有 Organizations 管理账户中的用户或角色才能将某个成员账户配置为组织中的 Application Migration Service 委派管理员。 ------ #### [ AWS CLI, AWS API ] 如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs,则可以使用以下命令: + AWS CLI: ``` $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal mgn.amazonaws.com ``` + AWS SDK:调用 Organizations `RegisterDelegatedAdministrator` 操作和成员账户的 ID 号,并将账户服务标识`mgn.amazonaws.com`为参数。 ------ ## 为 Application Migration Service 禁用委派管理员 只有 Organizations 管理账户中的管理员才能移除 Application Migration Service 的委派管理员。您可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作来移除委托管理员。 # AWS Artifact 和 AWS Organizations AWS Artifact AWS Artifact 是一项允许您下载 AWS 安全合规性报告(例如 ISO 和 PCI 报告)的服务。即使添加了新的报告和帐户 AWS Artifact,组织管理账户中的用户也可以自动代表组织中的所有成员账户接受协议。成员账户用户可以查看和下载协议。有关更多信息,请参阅《*AWS Artifact 用户指南*》中的 [Arti AWS fact 中管理多个账户的协议](https://docs.aws.amazon.com/artifact/latest/ug/manage-org-agreement.html)。 使用以下信息来帮助您集 AWS Artifact 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色 AWS Artifact 允许在组织中的组织账户中执行支持的操作。 只有在禁用 AWS Artifact 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。 尽管您可以在删除组织的成员账户时删除或修改此角色,但我们不建议这样操作。 不鼓励修改角色,因为这可能会导致跨服务混淆代理等安全问题。要了解有关防范混淆代理的更多信息,请参阅*AWS Artifact 《用户指南》*中的[跨服务代理问题防范](https://docs.aws.amazon.com//artifact/latest/ug/security-iam.html#confused-deputy)。 + `AWSServiceRoleForArtifact` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。使用的服务相关角色向以下服务主体 AWS Artifact 授予访问权限: + `artifact.amazonaws.com` ## 使用启用可信访问 AWS Artifact 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您只能使用 Organizations 工具启用可信访问权限。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Artifact**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用 AWS Artifact的可信访问权限**对话框中,键入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。 AWS Artifact ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS Artifact zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal artifact.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用禁用可信访问 AWS Artifact 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 只有 AWS Organizations 管理账户中的管理员才能使用禁用可信访问权限 AWS Artifact。 您只能使用 Organizations 工具禁用可信访问权限。 AWS Artifact 需要使用可信访问权限 AWS Organizations 才能使用组织协议。如果您在使用组织协议 AWS Organizations 时使用禁用可信访问,则它会因为无法访问组织而停止运行。 AWS Artifact 您接受的任何组织协议都将 AWS Artifact 保留,但无法被访问 AWS Artifact。 AWS Artifact 创造的 AWS Artifact 角色仍然存在。如果您之后重新允许可信访问,则 AWS Artifact 将继续像以前一样运行,而无需您重新配置该服务。 从组织中删除的独立账户不再有权访问任何组织协议。 您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **使用 Organizations 控制台禁用信任服务访问权限** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Artifact**。 1. 选择 **Disable trusted access(禁用信任访问权限)**。 1. 在**禁用 AWS Artifact的可信访问权限**对话框中,键入**禁用**进行确认,然后选择**禁用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。 AWS Artifact ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS Artifact ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal artifact.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ # AWS Audit Manager 和 AWS Organizations AWS Audit Manager AWS Audit Manager 帮助您持续审计 AWS 使用情况,以简化评估风险以及对法规和行业标准的合规性的方式。Audit Manager 可自动收集证据,以便更轻松地评估您的策略、过程和活动是否有效运行。当需要进行审计时,Audit Manager 可帮助您管理利益攸关方对控件的审核,并帮助您以更少的人工工作量生成可审计的报告。 将 Audit Manager 与集成后 AWS Organizations,您可以将来自组织的多个证据纳入评估范围,从而 AWS 账户 从更广泛的来源收集证据。 有关更多信息,请参阅《Audit *Manager 用户指南*》中的 “[启用 AWS 组织](https://docs.aws.amazon.com/audit-manager/latest/userguide/setting-up.html#enabling-orgs)”。 使用以下信息来帮助您集 AWS Audit Manager 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Audit Manager 在您组织中的组织账户内执行支持的操作。 只有在禁用 Audit Manager 和 Organizations 之间的信任访问,或者如果您从组织中删除成员账户,您才能删除或修改此角色。 有关 Audit Manager 如何使用此角色的详细信息,请参阅《AWS Audit Manager 用户指南》**中的[使用服务相关角色](https://docs.aws.amazon.com/audit-manager/latest/userguide/using-service-linked-roles.html)。 + `AWSServiceRoleForAuditManager` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Audit Manager 使用的服务相关角色为以下服务委托人授予访问权限: + `auditmanager.amazonaws.com` ## 使用 Audit Manager 启用信任访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 Audit Manager 需要可信访问权限, AWS Organizations 然后才能将成员账户指定为组织的委托管理员。 您可以使用 AWS Audit Manager 控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用 AWS Audit Manager 控制台或工具来启用与 Organizations 的集成。这允许 AWS Audit Manager 执行它需要的任何配置,例如创建服务所需的资源。请仅在您无法使用 AWS Audit Manager提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 AWS Audit Manager 控制台或工具启用可信访问,则无需完成这些步骤。 **使用 Audit Manager 控制台启用信任访问权限** 有关启用信任访问权限的说明,请参阅《AWS Audit Manager 用户指南》**中的[设置](https://docs.aws.amazon.com/audit-manager/latest/userguide/console-settings.html#settings-ao)。 **注意** 如果您使用 AWS Audit Manager 控制台配置委派管理员,则 AWS Audit Manager 会自动为您启用可信访问权限。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS Audit Manager zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal auditmanager.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用 Audit Manager 禁用信任访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 只有 AWS Organizations 管理账户中的管理员才能使用禁用可信访问权限 AWS Audit Manager。 您只能使用 Organizations 工具禁用可信访问权限。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS Audit Manager ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal auditmanager.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为 Audit Manager 启用委托管理员账户 将成员账户指定为组织的委托管理员时,该账户中的用户和角色可以对 Audit Manager 执行管理操作,否则只能由组织管理账户中的用户或角色执行操作。这可以帮助您将组织的管理与 Audit Manager 的管理分开。 **最小权限** 只有 Organizations 管理账户中具有以下权限的用户或角色才能将成员账户配置为组织中 Audit Manager 的委托管理员: `audit-manager:RegisterAccount` 有关为 Audit Manager 启用委托管理员账户的说明,请参阅《AWS Audit Manager 用户指南》**中的[设置](https://docs.aws.amazon.com/audit-manager/latest/userguide/console-settings.html#settings-ao)。 如果您使用 AWS Audit Manager 控制台配置委派管理员,则 Audit Manager 会自动为您启用可信访问权限。 ------ #### [ AWS CLI, AWS API ] 如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs,则可以使用以下命令: + AWS CLI: ``` $ aws audit-manager register-account \ --delegated-admin-account 123456789012 ``` + AWS SDK:调用`RegisterAccount`操作并提供`delegatedAdminAccount`作为参数来委托管理员帐户。 ------ # AWS Backup 和 AWS Organizations AWS Backup AWS Backup 是一项允许您管理和监控组织中 AWS Backup 作业的服务。使用 AWS Backup,如果您以组织管理帐户的用户身份登录,则可以启用组织范围的备份保护和监控。它使用[备份策略](orgs_manage_policies_backup.md)将 AWS Backup 计划集中应用于组织中所有客户的资源,从而帮助您实现合规性。当你同时使用两者 AWS Backup 时,可以获得以下好处: AWS Organizations **保护** 您可以在组织[中启用备份策略类型](enable-policy-type.md),然后[创建备份策略](orgs_policies_create.md)以附加到组织的 root 或帐户。 OUs备份策略将 AWS Backup 计划与自动将计划应用到您的账户所需的其他详细信息相结合。直接关联到账户的策略与从组织根目录和任何上级[继承](orgs_manage_policies_inheritance_mgmt.md)的策略合并, OUs 以创建适用于该账户的[有效策略](orgs_manage_policies_effective.md)。该策略包括有权在您账户中的资源 AWS Backup 上运行的 IAM 角色的 ID。 AWS Backup 使用 IAM 角色代表您执行有效策略中备份计划指定的备份。 **监控** 当您在组织中[为 AWS Backup启用可信访问](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access)时,您可以使用 AWS Backup 控制台查看有关组织中任何账户的备份、还原和复制作业的详细信息。有关更多信息,请参阅《AWS Backup 开发人员指南》**中的[监控备份任务](https://docs.aws.amazon.com/aws-backup/latest/devguide/monitor-and-verify-protected-resources.html)。 有关的更多信息 AWS Backup,请参阅《*[AWS Backup 开发人员指南》](https://docs.aws.amazon.com/aws-backup/latest/devguide/)*。 使用以下信息来帮助您集 AWS Backup 成 AWS Organizations。 ## 使用启用可信访问 AWS Backup 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 AWS Backup 控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用 AWS Backup 控制台或工具来启用与 Organizations 的集成。这允许 AWS Backup 执行它需要的任何配置,例如创建服务所需的资源。请仅在您无法使用 AWS Backup提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 AWS Backup 控制台或工具启用可信访问,则无需完成这些步骤。 要使用启用可信访问 AWS Backup,请参阅《*AWS Backup 开发人员指南》 AWS 账户*中的[启用多重备份](https://docs.aws.amazon.com//aws-backup/latest/devguide/manage-cross-account.html#enable-xaccount-management)。 ## 使用禁用可信访问 AWS Backup 禁用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 AWS Backup 需要可信访问权限 AWS Organizations 才能监控组织账户中的备份、还原和复印作业。如果您禁用可信访问权限 AWS Backup,则无法查看当前账户以外的作业。 AWS Backup 创造的 AWS Backup 角色仍然存在。如果您稍后重新启用可信访问,则可以 AWS Backup 继续像以前一样运行,而无需重新配置服务。 您只能使用 Organizations 工具禁用可信访问权限。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS Backup ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal backup.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为其启用委派管理员账户 AWS Backup 委派管理员 请参阅《AWS Backup 开发人员指南》**中的[委托管理员](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#backup-delegatedadmin)。 # AWS 账单与成本管理 和 AWS Organizations AWS 账单与成本管理 AWS 账单与成本管理 提供了一套功能,可帮助您设置账单、检索和支付发票,以及分析、整理、计划和优化成本。当您将 Billing and Cost Management 与 Billing and Cost Management [配合使用时, AWS Organizations 您可以允许拆](https://docs.aws.amazon.com/cur/latest/userguide/split-cost-allocation-data.html)分成本分配数据检索 AWS Organizations 信息(如果适用),并收集您选择使用的分割成本分配数据服务的遥测数据。 使用以下信息来帮助您集 AWS 账单与成本管理 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许账单和成本管理服务在您组织中的组织账户内执行支持的操作。 只有在禁用账单与成本管理服务和 Organizations 之间的可信访问,或者从组织中移除成员账户后,才能删除或修改此角色。 有关更多信息,请参阅《账单与成本管理用户指南》中的[账单和成本管理的服务相关角色权限](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/security_iam_service-with-iam.html#security_iam_service-with-iam-roles-service-linked)**。 + `AWSServiceRoleForSplitCostAllocationData` ## 账单与成本管理使用的服务主体 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。账单与成本管理使用的服务相关角色为以下服务主体授予访问权限: 账单与成本管理使用 ` billing-cost-management.amazonaws.com` 服务主体。 ## 启用与账单与成本管理的可信访问 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 通过管理账户启用可信访问后,客户可以利用账单与成本管理下的拆分成本分配数据功能。当客户使用 Amazon Managed Service for Prometheus 为 Amazon Elastic Kubernetes Service 启用拆分成本分配数据功能时,将调用可信访问为组织内的所有成员账户创建服务相关角色。这样可将拆分成本分配数据功能从客户的 Amazon Managed Service for Prometheus 工作区收集遥测数据,并根据这些指标进行成本分配。 您只能使用 Organizations 工具启用可信访问权限。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS 账单与成本管理 zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal billing-cost-management.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 禁用可信访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 您只能使用 Organizations 工具禁用可信访问权限。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS 账单与成本管理 ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal billing-cost-management.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ # AWS CloudFormation StackSets 和 AWS Organizations AWS CloudFormation StackSets CloudFormation StackSets 使您能够通过单个操作跨多个 AWS 账户 堆栈创建、更新或删除堆栈。 AWS 区域 StackSets AWS Organizations 通过与集成,您可以使用在每个成员账户中具有相关权限的服务相关角色创建具有服务管理权限的堆栈集。这可将堆栈实例部署到组织中的成员账户。您无需创建必要的 AWS Identity and Access Management 角色;可以代表您在每个成员账户中 StackSets 创建 IAM 角色。 您还可以选择为将来添加到组织的账户启用自动部署。启用自动部署后,关联堆栈集实例的角色和部署将自动添加到将来添加到该 OU 的所有账户中。 启用 StackSets 和 Organizations 之间的可信访问权限后,管理账户有权为您的组织创建和管理堆栈集。管理账户最多可以将五个成员账户注册为委托管理员。启用信任访问权限后,委托管理员还有权为您的组织创建和管理堆栈套。具有服务托管权限的堆栈集是在管理账户中创建的,包括由委托管理员创建的堆栈集。 **重要** 委派管理员具有部署到组织中的账户的完全权限。管理账户无法将委派的管理员权限限制为特定堆栈集 OUs 或执行特定堆栈集操作。 有关 StackSets 与 Organizations 集成的更多信息,请参阅《*AWS CloudFormation 用户指南*》 AWS CloudFormation StackSets中的 “[使用](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)”。 使用以下信息来帮助您集 AWS CloudFormation StackSets 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 CloudFormation Stacksets 在组织中的账户中执行支持的操作。 只有在禁用 CloudFormation Stacksets 和 Organizations 之间的信任访问权限,或者从组织中删除成员账户,您才能删除或修改此角色。 + 管理账户:`AWSServiceRoleForCloudFormationStackSetsOrgAdmin` 要为组织中的成员账户创建服务相关角色 `AWSServiceRoleForCloudFormationStackSetsOrgMember`,您需要先在管理账户中创建一个堆栈集。这将会创建一个堆栈集实例,然后该实例会在成员账户中创建相应的角色。 + 成员账户:`AWSServiceRoleForCloudFormationStackSetsOrgMember` 有关创建堆栈集的更多详细信息[,请参阅*AWS CloudFormation 用户指南 AWS CloudFormation StackSets*中的使用](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)。 ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。 CloudFormation Stacksets 使用的服务相关角色向以下服务主体授予访问权限: + 管理账户:`stacksets.cloudformation.amazonaws.com` 只有在 StackSets 和 Organizations 之间禁用了可信访问权限后,才能修改或删除此角色。 + 成员账户:`member.org.stacksets.cloudformation.amazonaws.com` 只有先禁用 StackSets 和 Organizations 之间的可信访问权限,或者先从目标组织或组织单位 (OU) 中移除该帐户,才能修改或删除账户中的此角色。 ## 使用 CloudFormation 堆栈集启用可信访问 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 只有 Organizations 管理账户中的管理员才有权启用对其他 AWS 服务的可信访问。您可以使用 CloudFormation 控制台或 Organizations 控制台启用信任访问权限。 您只能使用 AWS CloudFormation StackSets 启用可信访问权限。 要使用 CloudFormation Stacksets 控制台启用可信访问,请参阅《 AWS CloudFormation 用户指南》 AWS Organizations中的 “[使用启用可信访问](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html)”。 ## 使用 CloudFormation 堆栈集禁用可信访问 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 只有 Organizations 管理账户中的管理员才有权禁用其他 AWS 服务的可信访问权限。您只能使用 Organizations 控制台禁用信任访问权限。如果您在使用时禁用 Organizations 的可信访问权限 StackSets,则所有先前创建的堆栈实例都将保留。但是,使用服务相关角色的权限部署的堆栈套无法再对 Organizations 管理的账户执行部署。 您可以使用控制台或 Organizations CloudFormation 控制台禁用可信访问。 **重要** 如果您以编程方式禁用可信访问(例如使用 AWS CLI 或使用 API),请注意,这将移除权限。最好使用 CloudFormation 控制台禁用可信访问。 您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **使用 Organizations 控制台禁用信任服务访问权限** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS CloudFormation StackSets**。 1. 选择 **Disable trusted access(禁用信任访问权限)**。 1. 在**禁用 AWS CloudFormation 的可信访问权限StackSets**对话框中,键入**禁用**进行确认,然后选择**禁用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。 AWS CloudFormation StackSets ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS CloudFormation StackSets ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal stacksets.cloudformation.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为 CloudFormation 堆栈集启用委托管理员账户 启用委托管理员 将成员账户指定为组织的委托管理员时,该账户中的用户和角色可以对 CloudFormation Stacksets 执行管理操作,否则只能由组织管理账户中的用户或角色执行操作。这可以帮助您将组织管理与 CloudFormation 堆栈集的管理分开。 有关如何将成员账户指定为组织中的 CloudFormation Stacksets,请参阅《AWS CloudFormation 用户指南》**中的[注册委托管理员](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)。 # AWS CloudTrail 和 AWS Organizations AWS CloudTrail AWS CloudTrail 是一项可帮助您实现治理、合规以及运营和风险审计的 AWS 服务 AWS 账户。使用 AWS CloudTrail管理账户中的用户可以创建组织跟踪,记录该组织 AWS 账户 中所有人的所有事件。组织跟踪自动应用到组织中的所有成员账户。成员账户可以查看组织跟踪,但无法修改或删除它。默认情况下,成员账户没有权限访问 Amazon S3 存储桶中组织跟踪的日志文件。这有助于您在组织的账户中统一应用和实施事件日志记录策略。 有关更多信息,请参阅《AWS CloudTrail 用户指南》**中的[为组织创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)。 使用以下信息来帮助您集 AWS CloudTrail 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色 CloudTrail 允许在组织中的组织账户中执行支持的操作。 只有在禁用 CloudTrail 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。 + `AWSServiceRoleForCloudTrail` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。使用的服务相关角色向以下服务主体 CloudTrail 授予访问权限: + `cloudtrail.amazonaws.com` ## 使用启用可信访问 CloudTrail 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 如果您通过从 AWS CloudTrail 控制台创建跟踪来启用可信访问,则会自动为您配置可信访问(推荐)。您也可以使用 AWS Organizations 控制台启用可信访问。您必须使用 AWS Organizations 管理账户登录才能创建组织跟踪。 如果您选择使用 AWS CLI 或 AWS API 创建组织跟踪,则必须手动配置可信访问权限。有关更多信息,请参阅《*AWS CloudTrail 用户指南》[AWS Organizations中的 CloudTrail 作为可信服务启用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.html#cloudtrail-create-organization-trail-by-using-the-cli-enable-trusted-service)。* **重要** 我们强烈建议您尽可能使用 AWS CloudTrail 控制台或工具来启用与 Organizations 的集成。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS CloudTrail zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal cloudtrail.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用禁用可信访问 CloudTrail 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 AWS CloudTrail 需要使用可信访问权限 AWS Organizations 才能使用组织跟踪和组织事件数据存储。如果您 AWS Organizations 在使用时使用禁用可信访问权限 AWS CloudTrail,则成员账户的所有组织跟踪都将被删除,因为 CloudTrail 无法访问该组织。所有管理账户组织跟踪和组织事件数据存储都将转换为账户级别跟踪和事件数据存储。为两者之间的 CloudTrail 集成而创建的`AWSServiceRoleForCloudTrail`角色将 AWS Organizations 保留在账户中。如果您重新启用可信访问权限,则 CloudTrail 不会对现有跟踪和事件数据存储执行操作。管理账户必须更新所有账户级别的跟踪和事件数据存储,才能将其应用于组织。 要将账户级别跟踪或事件数据存储转换为组织跟踪或组织事件数据存储,请执行以下操作: + 在 CloudTrail 控制台中,更新[跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html)或[事件数据存储](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html),然后选择 “**为我的组织中的所有账户启用**” 选项。 + 从中 AWS CLI,执行以下操作: + 要更新跟踪,请运行 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-trail.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-trail.html) 命令并添加 `--is-organization-trail` 参数。 + 要更新事件数据存储,请运行 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html) 命令并添加 `--organization-enabled` 参数。 只有 AWS Organizations 管理账户中的管理员才能使用禁用可信访问权限 AWS CloudTrail。您只能使用组织工具禁用可信访问,使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作 AWS SDKs。 您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **使用 Organizations 控制台禁用信任服务访问权限** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS CloudTrail**。 1. 选择 **Disable trusted access(禁用信任访问权限)**。 1. 在**禁用 AWS CloudTrail的可信访问权限**对话框中,键入**禁用**进行确认,然后选择**禁用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。 AWS CloudTrail ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS CloudTrail ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal cloudtrail.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为其启用委派管理员账户 CloudTrail 启用委托管理员 当您 CloudTrail 与 Organizations 一起使用时,您可以注册组织内的任何账户,以充当 CloudTrail 委托管理员,代表组织管理组织的跟踪和事件数据存储。委派管理员是组织中的成员帐户,可以在中执行与管理帐户 CloudTrail 相同的管理任务。 **最小权限** 只有 Organizations 管理账户中的管理员才能为其注册委托管理员 CloudTrail。 您可以使用 CloudTrail 控制台,也可以使用 Organizations `RegisterDelegatedAdministrator` CLI 或 SDK 操作来注册委派管理员帐户。要使用 CloudTrail 控制台注册委派管理员,请参阅[添加 CloudTrail 委派管理员](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-add-delegated-administrator.html)。 ## 禁用委派的管理员 CloudTrail 只有 Organizations 管理账户中的管理员才能移除其委派的管理员 CloudTrail。您可以使用 CloudTrail 控制台,也可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作来移除委派的管理员。有关如何使用 CloudTrail 控制台移除委派管理员的信息,请参阅[移除 CloudTrail 委派管理员](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-remove-delegated-administrator.html)。 # 亚马逊 CloudWatch 和 AWS Organizations Amazon CloudWatch 您可以将 Amazon AWS Organizations CloudWatch 用于以下用例: + 从 CloudWatch 控制台的中央视图发现和了解 AWS 资源的遥测配置状态。这简化了审核组织或账户中多种资源类型的遥测收集配置的过程。 AWS 您必须开启可信访问权限才能在整个组织中使用遥测配置。 有关更多信息,请参阅 *Amazon CloudWatch 用户指南*中的[审计 CloudWatch 遥测配置](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-cloudwatch.html)。 + 在 “网络流量监控”(Amazon CloudWatch 网络监控的一项功能)中使用多个账户。可通过网络流量监测仪近乎实时地查看 Amazon EC2 实例之间流量的网络性能。开启可信访问权限以与 Organizations 集成后,您可以创建监测仪来直观查看多个账户的网络性能详细信息。 有关更多信息,请参阅 *Amazon CloudWatch 用户指南*中的[初始化网络流量监控器以进行多账户监控](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-NetworkFlowMonitor-multi-account.html)。 使用以下信息来帮助您将Amazon CloudWatch 与之集成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 在贵组织的管理账户中创建以下[服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html)。服务关联角色会在您启用可信访问权限时自动在成员账户中创建。此角色 CloudWatch 允许在组织中的组织账户中执行支持的操作。只有在 CloudWatch 和 Organizations 之间禁用可信访问权限或从组织中移除成员帐户后,才能删除或修改此角色。 + `AWSServiceRoleForObservabilityAdmin` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。使用的服务相关角色向以下服务主体 CloudWatch 授予访问权限: + `observabilityadmin.amazonaws.com` + `networkflowmonitor.amazonaws.com` + `topology.networkflowmonitor.amazonaws.com` ## 使用启用可信访问 CloudWatch 启用信任访问权限 有关开启可信访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 Amazon CloudWatch 控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用亚马逊 CloudWatch 控制台或工具来启用与 Organizations 的集成。这样,Amazon 就可以 CloudWatch 执行其所需的任何配置,例如创建服务所需的资源。只有在无法使用 Amazon 提供的工具启用集成时,才能继续执行这些步骤 CloudWatch。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 Amazon CloudWatch 控制台或工具启用可信访问,则无需完成这些步骤。 **使用 CloudWatch 控制台开启可信访问** 请参阅[《*Amazon CloudWatch 用户指南》*中的开启 CloudWatch 遥测审计](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html)。 在中开启可信访问时,将启用遥测审计 CloudWatch,并且可以在 Network Flow Monitor 中使用多个帐户。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表 CloudWatch中选择 **Amazon**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在 “**为 Amazon 启用可信访问 CloudWatch**” 对话框中,键入 **enab** le 进行确认,然后选择 “**启用可信访问**”。 1. 如果您只是 Amazon 的管理员 AWS Organizations,请告诉 Amazon CloudWatch 管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。 ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令,将 Amazon 启用 CloudWatch 为 Organizations 的可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal observabilityadmin.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用关闭可信访问 CloudWatch 关闭可信访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 您可以使用 Amazon CloudWatch 或 AWS Organizations 工具禁用可信访问。 **重要** 我们强烈建议您尽可能使用亚马逊 CloudWatch 控制台或工具来禁用与 Organizations 的集成。这样,Amazon 就可以 CloudWatch 执行其所需的任何清理工作,例如删除服务不再需要的资源或访问角色。只有当您无法使用 Amazon 提供的工具禁用集成时,才能继续执行这些步骤 CloudWatch。 如果您使用 Amazon CloudWatch 控制台或工具禁用可信访问,则无需完成这些步骤。 **使用 CloudWatch 控制台关闭可信访问** 请参阅《*Amazon CloudWatch 用户*指南》中的[关闭 CloudWatch 遥测审计](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-off.html) 当您在中关闭可信访问时 CloudWatch,遥测审计将不再处于活动状态,并且您无法再在 Network Flow Monitor 中使用多个帐户。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令将 Amazon 禁用 Organization CloudWatch s 作为可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal observabilityadmin.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为注册委派管理员账号 CloudWatch 注册委派管理员 当您将成员账户注册为组织的委托管理员账户时,该账户中的用户和角色可以执行管理操作 CloudWatch ,否则只能由使用组织管理账户登录的用户或角色执行这些操作。使用委派管理员帐户可以帮助您将组织管理与中的功能管理分开 CloudWatch。 **最小权限** 只有 Organizations 管理账户中的管理员才能将成员账户注册为组织 CloudWatch 中的委托管理员账户。 您可以使用 CloudWatch 控制台注册委托管理员账户,也可以使用带有或 SDK 的 Organizations `RegisterDelegatedAdministrator` API 操作来注册委托管理员账户。 AWS Command Line Interface 有关如何使用 CloudWatch控制台注册委托管理员账户的信息,请参阅 *Amazon CloudWatch 用户指南*中的[开启 CloudWatch 遥测审计](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html)。 在中注册委派管理员帐户时 CloudWatch,您可以使用该帐户通过遥测审计和网络流量监控器进行管理操作。 ## 取消注册的委派管理员 CloudWatch **最小权限** 只有使用 Organizations 管理账户登录的管理员才能在组织 CloudWatch 中取消注册委派管理员账户。 你可以使用 CloudWatch控制台取消注册委派管理员账户,也可以使用带有或 SDK 的 Organizations `DeregisterDelegatedAdministrator` API 操作。 AWS Command Line Interface 有关更多信息,请参阅 *Amazon CloudWatch 用户指南*中的[取消注册委托管理员账户](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator)。 当您在中注销委派管理员帐户时 CloudWatch,您将无法再使用该帐户进行遥测审计和网络流量监控器的管理操作。 # AWS Compute Optimizer 和 AWS Organizations AWS Compute Optimizer AWS Compute Optimizer 是一项分析 AWS 资源的配置和利用率指标的服务。资源示例包括 Amazon Elastic Compute Cloud(Amazon EC2)实例和 Auto Scaling 组。Compute Optimizer 报告您的资源是否处于最佳状态并生成优化建议,以降低成本并提高工作负载的性能。有关 Compute Optimizer 的更多信息,请参阅 [AWS Compute Optimizer 用户指南](https://docs.aws.amazon.com/compute-optimizer/latest/ug/what-is.html)。 使用以下信息来帮助您集 AWS Compute Optimizer 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Compute Optimizer 在您组织中的组织账户内执行支持的操作。 只有在禁用 Compute Optimizer 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。 + `AWSServiceRoleForComputeOptimizer` + `AWSServiceRoleForComputeOptimizerAutomation` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Compute Optimizer 使用的服务相关角色为以下服务委托人授予访问权限: + `compute-optimizer.amazonaws.com` ## 使用 Compute Optimizer 启用信任访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 AWS Compute Optimizer 控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用 AWS Compute Optimizer 控制台或工具来启用与 Organizations 的集成。这允许 AWS Compute Optimizer 执行它需要的任何配置,例如创建服务所需的资源。请仅在您无法使用 AWS Compute Optimizer提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 AWS Compute Optimizer 控制台或工具启用可信访问,则无需完成这些步骤。 **使用 Compute Optimizer 控制台启用信任访问权限** 您必须使用组织的管理账户登录 Compute Optimizer 控制台。代表您的组织选择启用,方法是按照《AWS Compute Optimizer 用户指南》**中的[选择启用账户](https://docs.aws.amazon.com/compute-optimizer/latest/ug/getting-started.html#account-opt-in)中的说明操作。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Compute Optimizer**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用 AWS Compute Optimizer的可信访问权限**对话框中,键入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。 AWS Compute Optimizer ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS Compute Optimizer zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal compute-optimizer.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用 Compute Optimizer 禁用信任访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 只有 AWS Organizations 管理账户中的管理员才能使用禁用可信访问权限 AWS Compute Optimizer。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS Compute Optimizer ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal compute-optimizer.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为 Compute Optimizer 启用委托管理员账户 当您将某个成员账户指定为组织的委托管理员时,来自指定账户的用户和角色将可以管理组织内其他成员账户的 AWS 账户 元数据。如果您没有启用委托管理员账户,则这些任务只能由组织的管理账户执行。这有利于您将组织的管理与您的账户详细信息的管理分开。 **最小权限** 只有 Organizations 管理账户中的用户或角色才能将某个成员账户配置为组织的 Compute Optimizer 委托管理员。 有关为 Compute Optimizer 启用委托管理员账户的说明,请参阅*AWS Compute Optimizer 用户指南*中的 [https://docs.aws.amazon.com/compute-optimizer/latest/ug/delegate-administrator-account.html](https://docs.aws.amazon.com/compute-optimizer/latest/ug/delegate-administrator-account.html)。 ------ #### [ AWS CLI, AWS API ] 如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs,则可以使用以下命令: + AWS CLI: ``` $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal compute-optimizer.amazonaws.com ``` + AWS SDK:调用 Organizations `RegisterDelegatedAdministrator` 操作和成员账户的 ID 号,并将账户服务委托人标识`account.amazonaws.com`为参数。 ------ ## 为 Compute Optimizer 禁用委托管理员账户 只有组织管理账户中的管理员才能为 Compute Optimizer 配置委托管理员。 要使用 Compute Optimizer 控制台禁用委托管理员 Compute Optimizer 账户,请参阅 *AWS Compute Optimizer 用户指南*中的 [https://docs.aws.amazon.com/compute-optimizer/latest/ug/delegate-administrator-account.html](https://docs.aws.amazon.com/compute-optimizer/latest/ug/delegate-administrator-account.html)。 要使用移除委派的管理员 AWS AWS CLI,请参阅《*AWS AWS CLI 命令参考*》[deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html)中的。 # AWS Config 和 AWS Organizations AWS Config 中的多账户、多区域数据聚合 AWS Config 使您能够将来自多个账户 AWS Config 的数据聚合 AWS 区域 到单个账户中。多账户、多区域数据聚合用于中心 IT 管理员监控企业中多个 AWS 账户 的合规性。聚合器是一种资源类型 AWS Config ,用于从多个源账户和地区收集 AWS Config 数据。在要查看聚合 AWS Config 数据的区域中创建聚合器。在创建聚合器时,您可以选择添加个人帐户 IDs 或组织。有关的更多信息 AWS Config,请参阅《[AWS Config 开发人员指南》](https://docs.aws.amazon.com/config/latest/developerguide/)。 您还可以使用[AWS Config APIs](https://docs.aws.amazon.com/config/latest/APIReference/welcome.html)来管理组织 AWS 账户 中所有部门的 AWS Config 规则。有关更多信息,请参阅《*AWS Config 开发者指南*》[中的在组织中的所有账户中启用 AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html)。 使用以下信息来帮助您集 AWS Config 成 AWS Organizations。 ## 服务关联角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) AWS Config 允许您在组织中的账户中执行支持的操作。 + `AWSServiceRoleForConfig` 如需了解有关创建此角色的更多信息,请参阅《AWS Config Developer Guide》**中的 [Permissions for the IAM Role Assigned to AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/iamrole-permissions.html) *要详细了解如何 AWS Config 使用服务相关角色,请参阅开发人员指南 AWS Config中的[AWS Config 使用服务相关角色](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)* 只有在禁用 AWS Config 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。 ## 使用启用可信访问 AWS Config 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 AWS Config 控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用 AWS Config 控制台或工具来启用与 Organizations 的集成。这允许 AWS Config 执行它需要的任何配置,例如创建服务所需的资源。请仅在您无法使用 AWS Config提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 AWS Config 控制台或工具启用可信访问,则无需完成这些步骤。 **使用 AWS Config 控制台启用可信访问** 要启用可信访问 AWS Organizations 使用 AWS Config,请创建多账户聚合器并添加组织。有关如何配置多账户聚合器的信息,请参阅《AWS Config 开发人员指南》**中的 [Creating Aggregators](https://docs.aws.amazon.com/config/latest/developerguide/aggregated-create.html)。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Config**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用 AWS Config的可信访问权限**对话框中,键入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。 AWS Config ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS Config zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal config.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用禁用可信访问 AWS Config 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 您只能使用 Organizations 工具禁用可信访问权限。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS Config ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal config.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ # AWS 成本优化中心 和 AWS Organizations AWS 成本优化中心 AWS 成本优化中心 是一项 B AWS illing and Cost Management 功能,可帮助您整合不同 AWS 账户和 AWS 地区的成本优化建议并确定其优先顺序,从而最大限 AWS 度地利用支出。当您使用成本优化中心时, AWS Organizations 您可以轻松识别、筛选和汇总您的 Organizations 成员账户和 AWS 地区 AWS 的成本优化建议。 有关更多信息,请参阅《AWS Cost Management 用户指南》中的 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/cost-optimization-hub.html)**。 使用以下信息来帮助您集 AWS 成本优化中心 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许成本优化中心在您组织中的组织账户内执行支持的操作。 只有在成本优化中心与 Organizations 之间禁用可信访问,或者您从组织中移除该成员账户后,才能删除或修改此角色。 有关更多信息,请参阅《AWS Cost Management 用户指南》中的 [Service-linked role permissions for Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/cost-optimization-hub-SLR.html#cost-optimization-hub-SLR-permissions)**。 + `AWSServiceRoleForCostOptimizationHub` ## 成本优化中心使用的服务主体 服务主体 成本优化中心使用 `cost-optimization-hub.bcm.amazonaws.com` 服务主体。 ## 启用与成本优化中心的可信访问 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 当您选择加入组织的管理账户并包括组织内的所有成员账户时,您的组织账户中将自动启用成本优化中心的可信访问权限。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS 成本优化中心**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用 AWS 成本优化中心的可信访问权限**对话框中,键入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。 AWS 成本优化中心 ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS 成本优化中心 zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal cost-optimization-hub.bcm.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 禁用可信访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 您只能使用 Organizations 工具禁用可信访问权限。 **重要** 如果您在选择加入后禁用成本优化中心可信访问,则成本优化中心会拒绝访问组织成员账户的建议。此外,组织内的成员账户不会选择加入成本优化中心。要了解更多信息,请参阅《AWS Cost Management 用户指南》**中的 [Cost Optimization Hub and Organizations trusted access](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-trusted-access.html)。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS 成本优化中心 ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal cost-optimization-hub.bcm.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为成本优化中心启用委派管理员账户 启用委派管理员账户 当您将某个成员账户指定为组织的委派管理员时,该指定账户将可以检索组织内所有账户的成本优化中心建议并管理成本优化中心首选项,从而让您可以更灵活地集中识别资源优化机会。 **最小权限** 只有 Organizations 管理账户中具有以下权限的用户或角色才能将成员账户配置为组织中的成本优化中心委派管理员: 有关如何为成本优化中心启用委派管理员账户的说明,请参阅《AWS Cost Management 用户指南》中的 [Delegate an administrator account](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-delegated-admin.html)**。 ## 为成本优化中心禁用委派管理员 只有 Organizations 管理账户中的管理员才能移除成本优化中心的委派管理员。 要使用成本优化中心控制台禁用成本优化中心的委派管理员账户,请参阅《AWS Cost Management 用户指南》中的 [Delegate an administrator account](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-delegated-admin.html)**。 要使用 AWS CLI 删除委派的管理员,请参阅 *AWS Config CLI 参考[https://docs.aws.amazon.com/cli/latest/](https://docs.aws.amazon.com/cli/latest/)*中的。 # AWS Control Tower 和 AWS Organizations AWS Control Tower AWS Control Tower 遵循规范性最佳实践,提供了一种设置和管理 AWS 多账户环境的简单方法。 AWS Control Tower 编排扩展了的功能。 AWS Organizations AWS Control Tower 应用预防和侦查控制(护栏),以帮助防止您的组织和客户偏离最佳实践(偏离)。 AWS Control Tower 编排扩展了的功能。 AWS Organizations 有关更多信息,请参阅《[https://docs.aws.amazon.com/controltower/latest/userguide/](https://docs.aws.amazon.com/controltower/latest/userguide/)》。 使用以下信息来帮助您集 AWS Control Tower 成 AWS Organizations。 ## 集成所需的角色 服务关联角色 `AWSControlTowerExecution` 角色必须存在于所有注册的账户中。它 AWS Control Tower 允许管理您的个人账户,并将有关这些账户的信息报告给您的审计和日志存档账户。 要了解有关使用的角色的更多信息 AWS Control Tower,请参阅[AWS Control Tower 如何使用角色来创建和管理账户,以及](https://docs.aws.amazon.com/controltower/latest/userguide/roles-how)[使用基于身份的策略(IAM 策略)](https://docs.aws.amazon.com/controltower/latest/userguide/access-control-managing-permissions.html)。 AWS Control Tower ## 使用的服务主体 AWS Control Tower 服务主体 AWS Control Tower 使用`controltower.amazonaws.com`服务主体。 ## 使用启用可信访问 AWS Control Tower 启用信任访问权限 AWS Control Tower 使用可信访问来检测偏差以进行预防性控制,并跟踪导致偏差的账户和 OU 更改。 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您只能使用 Organizations 工具启用可信访问权限。 要从 Organizations 控制台启用可信访问,请选择 **AWS Control Tower** 旁边的 **Enable access**。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS Control Tower zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal controltower.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用禁用可信访问 AWS Control Tower 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 您只能使用 Organizations 工具禁用可信访问权限。 **重要** 禁用可 AWS Control Tower信访问权限会导致您的着 AWS Control Tower 陆区域出现偏差。修复偏差的唯一方法是使用 AWS Control Tower的登录区修复。在 Organizations 中重新启用可信访问权限并不能解决偏差。在《*AWS Control Tower 用户指南*》中[了解有关偏差的更多信息](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html)。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS Control Tower ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal controltower.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ # Amazon Detective 和 AWS Organizations Amazon Detective Amazon Detective 使用日志数据生成可视化图像,使您能够分析、调查和识别安全结果或可疑活动的根本原因。 使用 AWS Organizations 可以确保 Detective 行为图可以查看所有组织帐户的活动。 当您授予对 Detective 的信任访问权限时,Detective 服务可以自动应对组织成员资格的更改。委托管理员可在行为图中启用任何组织账户作为成员账户。Detective 还可以自动启用新组织账户作为成员账户。组织账户无法解除自己与行为图的关联。 有关更多信息,请参阅*《Amazon Detective 管理指南》*中的[在组织中使用 Amazon Detective](https://docs.aws.amazon.com//detective/latest/adminguide/accounts-orgs-transition.html)。 使用以下信息来帮助您将 Amazon Detective 与集成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Detective 在您组织中的组织账户内执行受支持的操作。 只有在禁用 Detective 与 Organizations 之间的信任访问权限后,或是从组织中删除成员账户后,您才能删除或修改此角色。 + `AWSServiceRoleForDetective` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Detective 使用的服务相关角色为以下服务主体授予访问权限: + `detective.amazonaws.com` ## 使用 Detective 启用信任访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 **注意** 当您为 Amazon Detective 指定委托管理员时,Detective 会自动为您的组织启用 Detective 信任访问权限。 Detective 需要获得可信访问权限, AWS Organizations 然后才能将成员账户指定为组织中该服务的委托管理员。 您只能使用 Organizations 工具启用可信访问权限。 您可以使用 AWS Organizations 控制台启用可信访问。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **Amazon Detective**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**为 Amazon Detective 启用可信访问**对话框中,键入**启用**进行确认,然后选择**启用可信访问**。 1. 如果您仅是的管理员 AWS Organizations,请告诉 Amazon Detective 的管理员,他们现在可以 AWS Organizations 从服务控制台启用该服务。 ------ ## 使用 Detective 禁用信任访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 只有 AWS Organizations 管理账户中的管理员才能禁用 Amazon Detective 的可信访问权限。 您只能使用 Organizations 工具禁用可信访问权限。 您可以使用 AWS Organizations 控制台禁用可信访问。 ------ #### [ AWS 管理控制台 ] **使用 Organizations 控制台禁用信任服务访问权限** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **Amazon Detective**。 1. 选择 **Disable trusted access(禁用信任访问权限)**。 1. 在**禁用 Amazon Detective 的可信访问权限**对话框中,输入**禁用**进行确认,然后选择**禁用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告诉 Amazon Detective 的管理员,他们现在 AWS Organizations 可以使用服务控制台或工具禁用该服务;。 ------ ## 为 Detective 启用委托管理员账户 Detective 的委托管理员账户是 Detective 行为图的管理员账户。委托管理员决定要启用和禁用该行为图中的哪些组织账户的成员账户状态。委托管理员可将 Detective 配置为在将新组织账户添加到组织时,自动启用这些账户作为成员账户。有关委托管理员如何管理组织账户的信息,请参阅*《Amazon Detective 管理指南》*中的[将组织账户作为成员账户进行管理](https://docs.aws.amazon.com//detective/latest/adminguide/accounts-orgs-members.html)。 只有组织管理账户中的管理员才能为 Detective 配置委托管理员。 您可以通过 Detective 控制台或 API,或者通过使用 Organizations CLI 或 SDK 操作,来指定委托管理员账户。 **最小权限** 只有 Organizations 管理账户中的用户或角色能够将某个成员账户配置为组织的 Detective 委托管理员。 要使用 Detective 控制台或 API 配置委托管理员,请参阅*《Amazon Detective 管理指南》*中的[为组织指定 Detective 管理员账户](https://docs.aws.amazon.com//detective/latest/adminguide/accounts-designate-admin.html)。 ------ #### [ AWS CLI, AWS API ] 如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs,则可以使用以下命令: + AWS CLI: ``` $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal detective.amazonaws.com ``` + AWS SDK:调用 Organizations `RegisterDelegatedAdministrator` 操作和成员账户的 ID 号,并将账户服务委托人标识`account.amazonaws.com`为参数。 ------ ## 为 Detective 禁用委托管理员 您可以使用 Detective 控制台或 API,或者通过使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作,来删除委托管理员。有关如何使用 Detective 控制台或 API 或 Organizations API 删除委托管理员的信息,请参阅*《Amazon Detective 管理指南》*中的[为组织指定 Detective 管理员账户](https://docs.aws.amazon.com//detective/latest/adminguide/accounts-designate-admin.html)。 # Amazon DevOps Guru 和 AWS Organizations Amazon DevOps Guru Amazon DevOps Guru 分析运营数据和应用程序指标及事件,以识别与正常操作模式不同的行为。当 DevOps Guru 检测到操作问题或风险时,用户会收到通知。 使用 DevOps Guru 可实现多账户支持 AWS Organizations,因此您可以指定一个成员账户来管理整个组织的见解。此委托管理员随后可以查看、排序和筛选组织内所有账户的见解,以全面了解组织内所有受监控应用程序运行状况,而无需进行任何额外的自定义。 有关更多信息,请参阅 *Amazon DevOps Guru 用户指南*中的[监控组织内的账户](https://docs.aws.amazon.com//devops-guru/latest/userguide/getting-started-multi-account.html)。 使用以下信息来帮助您将 Amazon DevOps Guru 与 AWS Organizations集成。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 DevOps Guru 在组织中的账户中执行支持的操作。 只有在禁用 DevOps Guru 和 Organizations 之间的可信访问权限或从组织中删除成员帐户后,才能删除或修改此角色。 + `AWSServiceRoleForDevOpsGuru` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。 DevOpsGuru 使用的服务相关角色向以下服务主体授予访问权限: + `devops-guru.amazonaws.com` 有关更多信息,请参阅 A *ma DevOps* zon Guru 用户指南中的[为 DevOps Guru 使用服务相关角色](https://docs.aws.amazon.com//devops-guru/latest/userguide/using-service-linked-roles.html)。 ## 通过 DevOps Guru 启用可信访问 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 **注意** 当您为 Amazon DevOps Guru 指定委托管理员时, DevOpsGuru 会自动为您的组织启用 DevOps Guru 的可信访问权限。 DevOpsGuru 需要获得可信访问权限, AWS Organizations 然后才能指定成员账户作为贵组织此服务的委托管理员。 **重要** 我们强烈建议您尽可能使用 Amazon DevOps Guru 控制台或工具来启用与 Organizations 的集成。这允许 Amazon DevOps Guru 执行其所需的任何配置,例如创建服务所需的资源。只有当您无法使用 Amazon DevOps Guru 提供的工具启用集成时,才能继续执行这些步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 您可以使用控制台或 DevOps Guru AWS Organizations 控制台启用可信访问。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在 “**[服务](https://console.aws.amazon.com/organizations/v2/home/services)**” 页面上,找到 **Amazon DevOps Guru** 所在的行,选择该服务的名称,然后选择 “**启用可信访问**”。 1. 在确认对话框中,启用 **Show the option to enable trusted access (显示启用信任访问权限的选项)**,在框中输入 **enable**,然后选择 **Enable trusted access (启用信任访问权限)**。 1. 如果您仅是的管理员 AWS Organizations,请告诉 Amazon DevOps Guru 的管理员,他们现在可以使用其控制台启用该服务。 AWS Organizations ------ #### [ DevOps Guru console ] **使用 DevOps Guru 控制台启用可信服务访问** 1. 以管理员身份登录管理账户并打开 DevOps Guru 控制台:[Amazon DevOps G](https://console.aws.amazon.com//devops-guru/management-account) uru 控制台 1. 选择 **Enable trusted access (启用可信访问)**。 ------ ## 使用 DevOps Guru 禁用可信访问 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 只有 AWS Organizations 管理账户中的管理员才能禁用 Amazon DevOps Guru 的可信访问权限。 您只能使用 Organizations 工具禁用可信访问权限。 您可以使用 AWS Organizations 控制台禁用可信访问。 ------ #### [ AWS 管理控制台 ] **使用 Organizations 控制台禁用信任服务访问权限** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **Amazon DevOps Guru**。 1. 选择 **Disable trusted access(禁用信任访问权限)**。 1. 在 “**禁用 Amazon DevOps Guru 的可信访问**” 对话框中,键入 “**禁用**” 进行确认,然后选择 “**禁用可信访问**”。 1. 如果您仅是的管理员 AWS Organizations,请告诉 Amazon DevOps Guru 的管理员,他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务;。 ------ ## 为 DevOps Guru 启用委托管理员账户 DevOpsGuru 的委托管理员账户可以查看来自组织加入 DevOps Guru 的所有成员账户的见解数据。有关委派管理员如何管理组织账户的信息,请参阅 *Amazon DevOps Guru 用户指南*中的[监控组织中的账户](https://docs.aws.amazon.com//devops-guru/latest/userguide/getting-started-multi-account.html)。 只有组织管理账户中的管理员才能为 DevOps Guru 配置委派管理员。 您可以从 DevOps Guru 控制台指定委托管理员帐户,也可以使用 Organizations `RegisterDelegatedAdministrator` CLI 或 SDK 操作来指定委托管理员帐户。 **最小权限** 只有 Organizations 管理账户中的用户或角色才能将成员账户配置为组织中 DevOps Guru 的委托管理员 ------ #### [ DevOps Guru console ] **在 DevOps Guru 控制台中配置委派管理员** 1. 以管理员身份登录管理账户并打开 DevOps Guru 控制台:[Amazon DevOps G](https://console.aws.amazon.com//devops-guru/management-account) uru 控制台 1. 选择**注册委托管理员**。您可以选择管理账户或任何成员账户作为委托管理员。 ------ #### [ AWS CLI, AWS API ] 如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs,则可以使用以下命令: + AWS CLI: ``` $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal devops-guru.amazonaws.com ``` + AWS SDK:调用 Organizations `RegisterDelegatedAdministrator` 操作和成员账户的 ID 号,并将账户服务委托人标识`account.amazonaws.com`为参数。 ------ ## 禁用 DevOps Guru 的委托管理员 你可以使用 DevOps Guru 控制台,也可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作来移除委派的管理员。有关如何使用 DevOps Guru 控制台移除委托管理员的信息,请参阅 *Amazon DevOps Guru 用户*指南中的[监控组织中的账户](https://docs.aws.amazon.com//devops-guru/latest/userguide/getting-started-multi-account.html)。 # AWS Directory Service 和 AWS Organizations AWS Directory Service AWS Directory Service 适用于微软 Active Directory AWS Managed Microsoft AD,或者,允许你将微软 Active Directory (AD) 作为托管服务运行。 AWS Directory Service 可以轻松地在 AWS 云端设置和运行目录,或者将您的 AWS 资源与现有的本地 Microsoft Active Directory 连接起来。 AWS Managed Microsoft AD 还与紧密集成 AWS Organizations ,允许在一个区域中的多个 AWS 账户 和任何 VPC 之间实现无缝目录共享。有关更多信息,请参阅 [AWS Directory Service 管理指南](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/)。 要在 Directory Service 整个组织中共享,组织必须启用**所有功能**,并且目录必须位于组织管理帐户中。 使用以下信息来帮助您集 AWS Directory Service 成 AWS Organizations。 ## 使用启用可信访问 Directory Service 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 AWS Directory Service 控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用 AWS Directory Service 控制台或工具来启用与 Organizations 的集成。这允许 AWS Directory Service 执行它需要的任何配置,例如创建服务所需的资源。请仅在您无法使用 AWS Directory Service提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 AWS Directory Service 控制台或工具启用可信访问,则无需完成这些步骤。 **使用 Directory Service 控制台启用可信访问** 要共享自动启用信任访问权限的目录,请参阅《AWS Directory Service 管理指南》**中的[共享您的目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html)。有关 step-by-step说明,请参阅[教程:共享您的 AWS 托管 Microsoft AD 目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_directory_sharing.html)。 您可以使用 AWS Organizations 控制台启用可信访问。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Directory Service**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**为 AWS Directory Service启用可信访问**对话框中,键入**启用**进行确认,然后选择**启用可信访问**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。 AWS Directory Service ------ ## 使用禁用可信访问 Directory Service 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 如果您 AWS Organizations 在使用时使用禁用可信访问 Directory Service,则以前共享的所有目录将继续正常运行。但是,在重新启用信任访问权限前,您将无法再在组织内共享新目录。 您只能使用 Organizations 工具禁用可信访问权限。 您可以使用 AWS Organizations 控制台禁用可信访问。 ------ #### [ AWS 管理控制台 ] **使用 Organizations 控制台禁用信任服务访问权限** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Directory Service**。 1. 选择 **Disable trusted access(禁用信任访问权限)**。 1. 在**禁用 AWS Directory Service的可信访问权限**对话框中,键入**禁用**进行确认,然后选择**禁用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务;。 AWS Directory Service ------ # Amazon 弹性计算云和 AWS Organizations Amazon Elastic Compute Cloud Amazon 弹性计算云在 AWS 云中提供按需、可扩展的计算容量。当您将 Amazon EC2 与 Organizations 一起使用时;您允许 Organizations 管理员在使用 Amazon EC2 的[声明性策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html)功能后,为其组织中的账户创建现有配置的报告。 使用以下信息来帮助您将 Amazon 弹性计算云与集成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Amazon EC2 在您组织中的组织账户内执行支持的操作。 只有在 Amazon EC2 与 Organizations 之间禁用可信访问权限,或者从组织中移除成员账户时,才能删除或修改此角色。 + `AWSServiceRoleForDeclarativePoliciesEC2Report` ## Amazon EC2 使用的服务主体 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Amazon EC2 使用的服务关联角色为以下服务主体授予访问权限: + `ec2.amazonaws.com` ## 启用 Amazon EC2 的可信访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 要让 Organizations 管理员能够为其组织中的账户创建现有配置的报告,您必须启用可信访问权限。 您只能使用 Organizations 工具启用可信访问权限。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **EC2 声明性策略**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**为 EC2 声明性策略启用可信访问权限**对话框中,输入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告诉 Amazon Elastic Compute Cloud 的管理员,他们现在可以 AWS Organizations 从服务控制台启用该服务。 ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令,允许将 Amazon Elastic Compute Cloud 作为 Organizations 的可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal ec2.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 禁用可信访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 您只能使用 Organizations 工具禁用可信访问权限。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令,禁止将 Amazon Elastic Compute Cloud 作为 Organizations 的可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal ec2.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ # EC2 容量管理器和 AWS Organizations EC2 容量管理器 EC2 容量管理器是一种全新的用户界面体验,附带的 API 可供您聚合、查看、分析和管理 EC2 按需型实例、竞价型实例和容量预留中的容量使用情况。向您的 AWS 组织授予 EC2 容量管理器的可信访问权限时,该服务将获得读取所有成员账户的组织成员资格信息的权限。具体而言,容量管理器在成员账户中执行以下操作:从所有成员账户中收集 EC2 使用情况数据(包括按需型实例、竞价型实例和容量预留),以聚合到组织范围的容量报告和控制面板中。该服务不会修改成员账户中的资源或配置,只读取已由 AWS收集的使用情况遥测数据。这让组织管理员能够通过单个控制面板查看整合后的容量利用率、预测未来的需求并优化整个组织的资源分配。有关更多信息,请参阅《Amazon EC2 用户指南》**中的 [EC2 容量管理器](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-manager.html)。 使用以下信息来帮助您将 EC2 容量管理器与集成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 EC2 容量管理器在您组织中的组织账户内执行支持的操作。 只有在禁用 EC2 容量管理器和 Organizations 之间的可信访问权限,或者从组织中移除成员账户时,您才能删除或修改此角色。 以下服务关联角色会在您启用可信访问权限时于管理账户中创建。此角色允许 EC2 容量管理器在您的组织及其账户中代表您执行任务。 只有在禁用 EC2 Capacity Manager 与之间的可信访问权限或从组织中删除成员账户时 AWS Organizations,才能删除或修改此角色。有关更多信息,请参阅 A *mazon EC2 用户指南*[中的 EC2 容量AWS 管理器使用服务相关角色](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-service-linked-roles-cm.html)[和托管策略: AWSEC2CapacityManagerServiceRolePolicy](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSEC2CapacityManagerServiceRolePolicy)。 + `AWSServiceRoleForEC2CapacityManager`— 允许 EC2 容量管理器代表您访问由 EC2 容量管理器使用或管理的 AWS 服务和资源。 ## EC2 容量管理器使用的服务主体 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。EC2 容量管理器使用的服务关联角色为以下服务主体授予访问权限: + `ec2.capacitymanager.amazonaws.com` ## 启用 EC2 容量管理器的可信访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 当您向您的 AWS 组织授予 EC2 Capacity Manager 的可信访问权限时,该服务将获得读取所有成员账户的组织成员资格信息的权限。这让组织管理员能够通过单个控制面板查看整合后的容量利用率、预测未来的需求并优化整个组织的资源分配。 您可以使用 EC2 容量管理器控制台或 AWS Organizations 控制台启用可信访问权限。 **重要** 强烈建议您尽可能使用 EC2 容量管理器控制台或工具来实现与 Organizations 的集成。这可让 EC2 容量管理器执行所需的任何配置,例如创建服务所需的资源。请仅在您无法使用 EC2 容量管理器提供的工具启用集成时执行这些步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 EC2 容量管理器控制台或工具启用可信访问权限,则您无需完成这些步骤。 要从 EC2 容量管理器控制台启用可信访问权限,请以管理员身份登录管理账户,然后打开 Amazon EC2 控制台。导航到容量管理器,然后转到“设置”选项卡。在“可信访问权限”部分,选择**管理可信访问权限**将其启用。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **EC2 容量管理器**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用 EC2 容量管理器可信访问权限**对话框中,输入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告诉 EC2 Capacity Manager 的管理员,他们现在可以 AWS Organizations 从服务控制台启用该服务。 ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令,允许将 EC2 容量管理器作为 Organizations 的可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal ec2.capacitymanager.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 禁用可信访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 要从 EC2 容量管理器控制台禁用可信访问权限,请导航至 Amazon EC2 容量管理器“设置”选项卡。在“可信访问权限”部分,选择**管理可信访问权限**将其禁用。注意:在禁用可信访问权限之前,必须移除所有委派管理员。 您可以使用 EC2 容量管理器或 AWS Organizations 工具禁用可信访问。 **重要** 强烈建议您尽可能使用 EC2 容量管理器控制台或工具来禁用与 Organizations 的集成。这可让 EC2 容量管理器执行所需的任何清理,例如删除服务不再需要的资源或访问角色。请仅在您无法使用 EC2 容量管理器提供的工具禁用集成时执行这些步骤。 如果您使用 EC2 容量管理器控制台或工具禁用可信访问权限,则无需完成这些步骤。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令,禁止将 EC2 容量管理器作为 Organizations 的可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal ec2.capacitymanager.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 启用 EC2 容量管理器的委派管理员账户 启用委托管理员 EC2 容量管理器的委派管理员无需使用管理账户,即可为您的组织管理容量管理器。委派管理员可以启用组织级别的容量管理,查看所有成员账户的容量数据,修改账户级别和组织级别范围之间的设置,以及管理整个组织的容量预测。有关更多信息,请参阅《Amazon EC2 用户指南》中的** [EC2 容量管理器的委派管理员](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enable-capacity-manager-da.html)。 **最小权限** 只有 Organizations 管理账户中的管理员才能配置 EC2 容量管理器的委派管理员。 您可以导航到“设置和管理委派管理员”,或使用 Organizations `RegisterDelegatedAdministrator` CLI 或 SDK 操作,通过 EC2 容量管理器控制台指定委派管理员账户。要使用 EC2 容量管理器控制台配置委派管理员,请参阅《Amazon EC2 用户指南》**中的[添加委派管理员](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enable-capacity-manager-da.html#add-capacity-manager-da)。 ------ #### [ AWS CLI, AWS API ] 您可以使用 AWS CLI 或以下任一方式注册委派管理员账户 AWS SDKs: + AWS CLI: [register-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html) ``` $ aws organizations register-delegated-administrator \ --account-id ACCOUNT_ID \ --service-principal ec2.capacitymanager.amazonaws.com ``` + AWS API: [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html) ------ ## 禁用 EC2 容量管理器的委派管理员账户 禁用委派管理员 只有 Organizations 管理账户或 EC2 容量管理器委派管理员账户中的管理员才能从组织中移除委派管理员账户。您可以在“设置”选项卡中选择**移除委派管理员**,或使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作,通过 EC2 容量管理器控制台移除委派管理员。要使用 EC2 容量管理器控制台移除委派管理员,请参阅《Amazon EC2 用户指南》**中的[移除委派管理员](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enable-capacity-manager-da.html#remove-capacity-manager-da)。 ------ #### [ AWS CLI, AWS API ] 您可以使用 AWS CLI 或以下任一方法删除委派管理员账户 AWS SDKs: + AWS CLI: [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html) ``` $ aws organizations deregister-delegated-administrator \ --account-id ACCOUNT_ID \ --service-principal ec2.capacitymanager.amazonaws.com ``` + AWS API: [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) ------ # 亚马逊 Elastic Kubernetes Service 和 AWS Organizations Amazon Elastic Kubernetes Service Amazon Elastic Kubernetes Service 控制面板是一个综合控制面板,您可以使用它来监控、管理和查看跨多个区域和账户的 Kubernetes 集群。 AWS AWS EKS 控制面板通过集中式界面为您提供对 Amazon EKS 基础设施的全面控制和洞察。 借助 Amazon Elastic Kubernetes Service 控制面板,您可以在整个组织中跟踪计划升级的集群、预计控制面板成本、查看集群洞察以及监控节点组分布。您的 AWS 管理员可以通过不同的可视化选项(包括图表、资源列表和地理地图)查看有关集群资源的汇总数据,包括运行状况、版本分布和插件配置。控制面板与 Organi AWS zations 集成,可让您安全地跨账户和跨区域查看您的 EKS 资源。 使用以下信息来帮助您将 Amazon Elastic Kubernetes Service 与集成。 AWS Organizations ## 启用集成时,创建了一个服务相关角色 服务关联角色 当您使用 Amazon Elastic Kubernetes Service 控制台启用可信访问权限时,将会自动在组织的管理账户中创建以下服务关联角色。此角色允许 Amazon EKS 在您组织中的组织账户内执行支持的操作。只有在禁用 Amazon Elastic Kubernetes Service 和 Organizations 之间的可信访问权限时,您才能修改或删除此角色。 如果您直接从 Organizations 控制台、CLI 或 SDK 启用可信访问,则不会自动创建服务相关角色。 + `AWSServiceRoleForAmazonEKSDashboard` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Amazon EKS 使用的服务关联角色为以下服务主体授予访问权限: + `dashboard.eks.amazonaws.com` ## 启用 Amazon EKS 的可信访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 **使用 Amazon EKS 控制台启用可信访问权限** 请参阅《Amazon EKS 用户指南》**中的[启用可信访问权限](https://docs.aws.amazon.com/eks/latest/userguide/cluster-dashboard-orgs.html#_enable_trusted_access)。 ## 禁用 Amazon EKS 的可信访问权限 禁用信任访问权限 **使用 Amazon EKS 控制台禁用可信访问权限** 请参阅《Amazon EKS 用户指南》**中的[禁用可信访问权限](https://docs.aws.amazon.com/eks/latest/userguide/cluster-dashboard-orgs.html#_disable_trusted_access)。 ## 启用 Amazon EKS 委派管理员账户 启用委托管理员账户 管理账户的管理员可以将 Amazon EKS 的管理权限委派给称为委派管理员的指定成员账户。 管理账户和委派管理员账户可以查看 Amazon EKS 控制面板。 **启用委派管理员账户** 请参阅《Amazon EKS 用户指南》**中的[启用委派管理员账户](https://docs.aws.amazon.com/eks/latest/userguide/cluster-dashboard-orgs.html#_enable_a_delegated_administrator_account)。 ## 禁用 Amazon EKS 委派管理员 只有组织管理账户中的管理员才能配置 Amazon EKS 委派管理员。 **禁用委派管理员账户** 请参阅《Amazon EKS 用户指南》**中的[禁用委派管理员账户](https://docs.aws.amazon.com/eks/latest/userguide/cluster-dashboard-orgs.html#_disable_a_delegated_administrator_account)。 # AWS Firewall Manager 和 AWS Organizations AWS Firewall Manager AWS Firewall Manager 是一项安全管理服务,用于集中配置和管理组织中的 AWS 账户 和应用程序中的防火墙规则和其他保护。使用 Firewall Manager,您可以发布 AWS WAF 规则、创建 AWS Shield Advanced 保护措施、配置和审核亚马逊虚拟私有云(Amazon VPC)安全组以及部署 AWS Network Firewall。使用 Firewall Manager 一次设置好保护措施,并让它们跨组织中的所有账户和资源自动应用,即使添加新资源和账户时也是如此。有关的更多信息 AWS Firewall Manager,请参阅《*[AWS Firewall Manager 开发人员指南》](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)*。 使用以下信息来帮助您集 AWS Firewall Manager 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Firewall Manager 在您组织中的组织账户内执行支持的操作。 只有在禁用 Firewall Manager 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。 + `AWSServiceRoleForFMS` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Firewall Manager 使用的服务相关角色为以下服务委托人授予访问权限: + `fms.amazonaws.com` ## 使用 Firewall Manager 启用信任访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 AWS Firewall Manager 控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用 AWS Firewall Manager 控制台或工具来启用与 Organizations 的集成。这允许 AWS Firewall Manager 执行它需要的任何配置,例如创建服务所需的资源。请仅在您无法使用 AWS Firewall Manager提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 AWS Firewall Manager 控制台或工具启用可信访问,则无需完成这些步骤。 您必须使用您的 AWS Organizations 管理账户登录,并将组织内的一个账户配置为 AWS Firewall Manager 管理员账户。有关更多信息,请参阅《AWS Firewall Manager 开发人员指南》**中的[设置 AWS Firewall Manager 管理员账户](https://docs.aws.amazon.com/waf/latest/developerguide/enable-integration.html)。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Firewall Manager**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用 AWS Firewall Manager的可信访问权限**对话框中,键入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。 AWS Firewall Manager ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS Firewall Manager zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal fms.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用 Firewall Manager 禁用信任访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 您可以使用 AWS Firewall Manager 或 AWS Organizations 工具禁用可信访问。 **重要** 我们强烈建议您尽可能使用 AWS Firewall Manager 控制台或工具来禁用与 Organizations 的集成。这允许 AWS Firewall Manager 执行它需要的任何清理,例如删除服务不再需要的资源或访问角色。仅当您无法使用 AWS Firewall Manager提供的工具禁用集成时,才会使用这些步骤进行处理。 如果您使用 AWS Firewall Manager 控制台或工具禁用可信访问,则无需完成这些步骤。 **使用 Firewall Manager 控制台禁用信任访问权限** 您可以按照《*AWS Firewall Manager 开发者*指南》中将[其他账户指定为 AWS Firewall Manager 管理员账户中的说明更改或撤消 AWS Firewall Manager 管理员帐户](https://docs.aws.amazon.com/waf/latest/developerguide/fms-change-administrator.html)。 如果您撤消管理员帐户,则必须登录 AWS Organizations 管理账户并为设置新的管理员帐户。 AWS Firewall Manager 您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **使用 Organizations 控制台禁用信任服务访问权限** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Firewall Manager**。 1. 选择 **Disable trusted access(禁用信任访问权限)**。 1. 在**禁用 AWS Firewall Manager的可信访问权限**对话框中,键入**禁用**进行确认,然后选择**禁用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。 AWS Firewall Manager ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS Firewall Manager ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal fms.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为 Firewall Manager 启用委托管理员账户 启用委托管理员 将成员账户指定为组织的委托管理员时,该账户中的用户和角色可以对 Firewall Manager 执行管理操作,否则只能由组织管理账户中的用户或角色执行操作。这可以帮助您将组织的管理与 Firewall Manager 的管理分开。 **最小权限** 只有 Organizations 管理账户中的用户或角色才能将成员账户配置为组织中 Firewall Manager 的委托管理员。 有关如何将成员帐户指定为组织的 Firewall Manager 管理员的说明,请参阅[《*AWS Firewall Manager 开发者指南*》中的设置 AWS Firewall Manager 管理员帐户](https://docs.aws.amazon.com/waf/latest/developerguide/enable-integration.html)。 # 亚马逊 GuardDuty 和 AWS Organizations Amazon GuardDuty Amazon GuardDuty 是一项持续的安全监控服务,它分析和处理各种数据源,使用威胁情报源和机器学习来识别 AWS 环境中意外的、可能未经授权的恶意活动。这可能包括权限升级、使用暴露的证书、与恶意 IP 地址或域的通信,或者您的 Amazon Elastic Compute Cloud 实例和容器工作负载上存在恶意软件等问题。 URLs 您可以使用 Organi GuardDuty zations 管理组织中的 GuardDuty 所有账户,从而帮助简化管理。 有关更多信息,请参阅 *Amazon GuardDuty 用户指南 AWS Organizations*中的使用[管理 GuardDuty 账户](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) 使用以下信息来帮助您将Amazon GuardDuty 与之集成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 当您启用信任访问权限后,您组织的管理账户中会自动创建以下服务相关角色。这些角色 GuardDuty 允许在组织中的组织账户中执行支持的操作。只有在和 Organizations GuardDuty 之间禁用可信访问权限或从组织中删除成员帐户后,才能删除角色。 + `AWSServiceRoleForAmazonGuardDuty`服务相关角色是在已与 Organizations 集 GuardDuty 成的账户中自动创建的。有关更多信息,请参阅 *Amazon GuardDuty 用户指南*中的 [Organizations GuardDuty 账户](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) + `AmazonGuardDutyMalwareProtectionServiceRolePolicy`服务相关角色是在启用 GuardDuty 恶意软件防护的帐户中自动创建的。有关更多信息,请参阅 *Amazon GuardDuty 用户*指南中的[ GuardDuty 恶意软件防护服务相关角色权限](https://docs.aws.amazon.com/guardduty/latest/ug/slr-permissions-malware-protection.html) ## 服务相关角色使用的服务委托人 服务委托人 + `guardduty.amazonaws.com`,由 `AWSServiceRoleForAmazonGuardDuty` 服务相关角色使用。 + `malware-protection.guardduty.amazonaws.com`,由 `AmazonGuardDutyMalwareProtectionServiceRolePolicy` 服务相关角色使用。 ## 使用启用可信访问 GuardDuty 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您只能使用 Amazon 启用可信访问 GuardDuty。 AWS Organizations 在您将成员账户指定为组织 GuardDuty 管理员之前,Amazon GuardDuty 需要获得可信访问权限。如果您使用 GuardDuty 控制台配置委派管理员,则 GuardDuty 会自动为您启用可信访问权限。 但是,如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs,则必须显式调[用 Enable A AWSService cces](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) s 操作并提供服务主体作为参数。然后,您可以[EnableOrganizationAdminAccount](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)致电委派 GuardDuty 管理员帐户。 ## 使用禁用可信访问 GuardDuty 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 您只能使用 Organizations 工具禁用可信访问权限。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令将 Amazon 禁用 Organization GuardDuty s 作为可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal guardduty.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为其启用委派管理员账户 GuardDuty 启用委派管理员账户 将成员账户指定为组织的委托管理员后,该账户中的用户和角色将能够对 GuardDuty 执行本来只能由组织管理账户中的用户或角色执行的管理操作。这有利于将组织的管理与 GuardDuty 的管理分开。 **最小权限** 有关将成员账户指定为委托管理员所需的权限的信息,请参阅 *Amazon GuardDuty 用户指南*中的[指定委托管理员所需的权限](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organizations_permissions) **将成员账户指定为的委托管理员 GuardDuty** 请参阅[指定委托管理员并添加成员账户(控制台)](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_console)和[指定委托管理员并添加成员账户(API)](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_api) # AWS Health 和 AWS Organizations AWS Health AWS Health 提供对您的资源绩效以及 AWS 服务 和账户可用性的持续可见性。 AWS Health 当您的 AWS 资源和服务受到问题影响或将受到即将发生的变更影响时,会发送事件。启用组织视图后,组织管理账户中的用户可以汇总组织中所有账户 AWS Health 的事件。组织视图仅显示启用该功能后交付 AWS Health 的事件,并将其保留 90 天。 您可以使用 AWS Health 控制台、 AWS Command Line Interface (AWS CLI) 或 AWS Health API 启用组织视图。 有关更多信息,请参阅《*AWS Health 用户指南》*中的[聚合 AWS Health 事件](https://docs.aws.amazon.com/health/latest/ug/aggregate-events.html)。 使用以下信息来帮助您集 AWS Health 成 AWS Organizations。 ## 用于集成的服务相关角色 服务关联角色 `AWSServiceRoleForHealth_Organizations`服务相关角色 AWS Health 允许在组织中的组织账户中执行支持的操作。 当您通过调用 [EnableHealthServiceAccessForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_EnableHealthServiceAccessForOrganization.html)API 操作启用可信访问时,将在您组织的管理账户中自动创建此角色。否则,请使用 AWS Health 控制台、API 或 CLI 创建角色,如 [IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)中所述。 只有在 AWS Health 和 Organizations 之间禁用可信访问权限或从组织中移除成员帐户后,才能删除或修改此角色。 ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。使用的服务相关角色向以下服务主体 AWS Health 授予访问权限: + `health.amazonaws.com` ## 使用启用可信访问 AWS Health 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 当您启用组织视图功能时 AWS Health,还会自动为您启用可信访问权限。 您可以使用 AWS Health 控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用 AWS Health 控制台或工具来启用与 Organizations 的集成。这允许 AWS Health 执行它需要的任何配置,例如创建服务所需的资源。请仅在您无法使用 AWS Health提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 AWS Health 控制台或工具启用可信访问,则无需完成这些步骤。 **使用 AWS Health 控制台启用可信访问** 您可以使用 AWS Health 和以下选项之一来启用可信访问: + 使用控制 AWS Health 台。有关更多信息,请参阅《AWS Health 用户指南》**中的[组织视图(控制台)](https://docs.aws.amazon.com/health/latest/ug/enable-organizational-view-in-health-console.html)。 + 使用 AWS CLI。有关更多信息,请参阅《AWS Health 用户指南》**中的[组织视图(CLI)](https://docs.aws.amazon.com/health/latest/ug/enable-organizational-view-from-aws-command-line.html)。 + 调用 [EnableHealthServiceAccessForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_EnableHealthServiceAccessForOrganization.html) API 操作 。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS Health zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal health.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用禁用可信访问 AWS Health 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 禁用组织视图功能后,将 AWS Health 停止聚合组织中所有其他账户的事件。这也会自动禁用您的信任访问权限。 您可以使用 AWS Health 或 AWS Organizations 工具禁用可信访问。 **重要** 我们强烈建议您尽可能使用 AWS Health 控制台或工具来禁用与 Organizations 的集成。这允许 AWS Health 执行它需要的任何清理,例如删除服务不再需要的资源或访问角色。仅当您无法使用 AWS Health提供的工具禁用集成时,才会使用这些步骤进行处理。 如果您使用 AWS Health 控制台或工具禁用可信访问,则无需完成这些步骤。 **使用 AWS Health 控制台禁用可信访问** 您可以使用以下选项之一禁用信任访问权限: + 使用控制 AWS Health 台。有关更多信息,请参阅《AWS Health 用户指南》**中的[禁用组织视图(控制台)](https://docs.aws.amazon.com/health/latest/ug/enable-organizational-view-in-health-console.html#disabling-organizational-view-console)。 + 使用 AWS CLI。有关更多信息,请参阅《AWS Health 用户指南》**中的[禁用组织视图(CLI)](https://docs.aws.amazon.com//health/latest/ug/enable-organizational-view-from-aws-command-line.html#disabling-organizational-view)。 + 调用 [DisableHealthServiceAccessForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DisableHealthServiceAccessForOrganization.html) API 操作 。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS Health ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal health.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为其启用委派管理员账户 AWS Health 启用委派管理员账户 将成员账户指定为组织的委托管理员后,该账户中的用户和角色将能够对 AWS Health 执行本来只能由组织管理账户中的用户或角色执行的管理操作。这有利于将组织的管理与 AWS Health的管理分开。 **将成员账户指定为的委托管理员 AWS Health** 请参阅[为您的组织视图注册委派管理员](https://docs.aws.amazon.com/health/latest/ug/delegated-administrator-organizational-view.html#register-a-delegated-administrator) **移除委派的管理员 AWS Health** 请参阅[从您的组织视图中移除委派管理员](https://docs.aws.amazon.com/health/latest/ug/delegated-administrator-organizational-view.html#remove-a-delegated-administrator) # AWS Identity and Access Management 和 AWS Organizations AWS Identity and Access Management AWS Identity and Access Management 是一项用于安全控制服务访问的 Web AWS 服务。 您可以使用 IAM 中[服务上次访问的数据](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html),以帮助您更好地了解组织中的 AWS 活动。您可以使用这些数据来创建和更新[服务控制策略 (SCPs)](orgs_manage_policies_scps.md),这些策略将访问权限仅限于您的组织账户使用的 AWS 服务。 有关示例,请参阅《IAM 用户指南》**中的[使用数据来细化组织部门的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html#access_policies_access-advisor-reduce-permissions-orgs)。 IAM 允许您集中管理根用户凭证,并对成员账户执行特权任务。启用根访问权限管理(在中为 IAM 启用可信访问权限)后 AWS Organizations,您可以集中保护成员账户的根用户证书。成员账户不能登录到他们的根用户或为其根用户执行密码恢复。IAM 管理账户或委派管理员账户也可以使用短期根访问权限,对成员账户执行一些特权任务。短期特权会话为您提供临时凭证,您可以限定这些凭证的范围,以对组织中的成员账户执行特权操作。 有关更多信息,请参阅《IAM 用户指南》**中的[集中管理成员账户的根访问权限](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)。 使用以下信息来帮助您集 AWS Identity and Access Management 成 AWS Organizations。 ## 启用 IAM 的可信访问权限 启用信任访问权限 如果您启用根访问权限管理, AWS Organizations中会启用 IAM 的可信访问权限。 ## 禁用 IAM 的可信访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 只有 AWS Organizations 管理账户中的管理员才能使用禁用可信访问 AWS Identity and Access Management。 您只能使用 Organizations 工具禁用可信访问权限。 您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **使用 Organizations 控制台禁用信任服务访问权限** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Identity and Access Management**。 1. 选择 **Disable trusted access(禁用信任访问权限)**。 1. 在**禁用 AWS Identity and Access Management的可信访问权限**对话框中,键入**禁用**进行确认,然后选择**禁用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。 AWS Identity and Access Management ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS Identity and Access Management ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal iam.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 启用 IAM 委派管理员账户 将成员账户指定为组织的委派管理员后,该账户中的用户和角色可在成员账户上执行本来只能由组织管理账户中的用户或角色执行的特权任务。有关更多信息,请参阅《IAM 用户指南》中的[在 Organizations 成员账户上执行特权任务](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-user-privileged-task.html)。 只有组织管理账户中的管理员才能配置 IAM 委派管理员。 您可以通过 IAM 控制台或 API,或者通过使用 Organizations CLI 或 SDK 操作来指定委派管理员账户。 ## 禁用 IAM 委派管理员 只有 Organizations 管理账户或 IAM 委派管理员账户中的管理员才能从组织中移除委派管理员账户。您可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作来禁用委派管理。 # 亚马逊 Inspector 和 AWS Organizations Amazon Inspector Amazon Inspector 是一项自动漏洞管理服务,可持续扫描 Amazon EC2 和容器工作负载中是否存在软件漏洞和意外网络暴露。 使用 Amazon Inspector,您只需为亚马逊 Inspector 委派一个管理员账户,即可管理 AWS Organizations 通过关联的多个账户。该委托管理员将为组织管理 Amazon Inspector,并将获得代表您的组织执行诸如以下任务的特殊权限: + 启用或禁用对成员账户的扫描 + 查看从整个组织汇总的查找结果数据 + 创建和管理禁止规则 有关更多信息,请参阅*《Amazon Inspector 用户指南》*中的[使用 AWS Organizations管理多个账户](https://docs.aws.amazon.com//inspector/latest/user/managing-multiple-accounts.html)。 使用以下信息来帮助您将 Amazon Inspector 与集成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Amazon Inspector 在您组织中的组织账户内执行受支持的操作。 只有在禁用 Amazon Inspector 与 Organizations 之间的信任访问权限后,或者如果您从组织中删除成员账户,您才能删除或修改此角色。 + `AWSServiceRoleForAmazonInspector2` 有关更多信息,请参阅*《Amazon Inspector 用户指南》*中的[将服务相关角色用于 Amazon Inspector](https://docs.aws.amazon.com//inspector/latest/user/using-service-linked-roles.html)。 ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Amazon Inspector 使用的服务相关角色为以下服务委托人授予访问权限: + `inspector2.amazonaws.com` ## 使用 Amazon Inspector 启用信任访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 Amazon Inspector 需要可信访问权限, AWS Organizations 然后您才能指定成员账户作为贵组织此服务的委托管理员。 当您为 Amazon Inspector 指定委托管理员时,Amazon Inspector 会自动为您的组织启用 Amazon Inspector 信任访问权限。 但是,如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs,则必须显式调用该`EnableAWSServiceAccess`操作并提供服务主体作为参数。然后您可以调用 `EnableDelegatedAdminAccount` 以委托 Inspector 管理员账户。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令,允许将 Amazon Inspector 作为 Organizations 的可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal inspector2.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ **注意** 如果您使用 `EnableAWSServiceAccess` API,您还需要调用 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html) 以委托 Inspector 管理员账户。 ## 使用 Amazon Inspector 禁用信任访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 只有 AWS Organizations 管理账户中的管理员才能禁用 Amazon Inspector 的可信访问权限。 您只能使用 Organizations 工具禁用可信访问权限。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令,禁止将 Amazon Inspector 作为 Organizations 的可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal inspector2.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为 Amazon Inspector 启用委托管理员账户 借助 Amazon Inspector,您可以使用具有 AWS Organizations 服务的委托管理员来管理组织中的多个账户。 AWS Organizations 管理账户将组织内的一个账户指定为 Amazon Inspector 的委托管理员账户。委托管理员管理组织的 Amazon Inspector,并获得代表您的组织执行诸如以下任务的特殊权限:启用或禁用对成员账户的扫描、查看从整个组织汇总的查找结果数据,以及创建和管理禁止规则 有关委托管理员如何管理组织账户的信息,请参阅*《Amazon Inspector 用户指南》*中的[了解管理员账户与成员账户之间的关系](https://docs.aws.amazon.com//inspector/latest/user/admin-member-relationship.html)。 只有组织管理账户中的管理员才能为 Amazon Inspector 配置委托管理员。 您可以通过 Amazon Inspector 控制台或 API,或者通过使用 Organizations CLI 或 SDK 操作,来指定委托管理员账户。 **最小权限** 只有 Organizations 管理账户中的用户或角色能够将某个成员账户配置为组织中 Amazon Inspector 的委托管理员。 要使用 Amazon Inspector 控制台配置委托管理员,请参阅*《Amazon Inspector 用户指南》*中的[步骤 1:启用 Amazon Inspector - 多账户环境](https://docs.aws.amazon.com//inspector/latest/user/getting_started_tutorial.html#tutorial_enable_scans)。 **注意** 您必须在使用 Amazon Inspector 的每个区域调用 `inspector2:enableDelegatedAdminAccount`。 ------ #### [ AWS CLI, AWS API ] 如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs,则可以使用以下命令: + AWS CLI: ``` $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal inspector2.amazonaws.com ``` + AWS SDK:调用 Organizations `RegisterDelegatedAdministrator` 操作和成员账户的 ID 号,并将账户服务委托人标识`account.amazonaws.com`为参数。 ------ ## 为 Amazon Inspector 禁用委托管理员 只有 AWS Organizations 管理账户中的管理员才能从组织中移除委派的管理员账户。 您可以使用 Amazon Inspector 控制台或 API,或者通过使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作,来删除委托管理员。要使用 Amazon Inspector 控制台删除委托管理员,请参阅*《Amazon Inspector 用户指南》*中的[删除委托管理员](https://docs.aws.amazon.com//inspector/latest/user/remove-delegated-admin.html)。 # AWS License Manager 和 AWS Organizations AWS License Manager AWS License Manager 简化了将软件供应商许可证引入云端的流程。在构建云基础架构时 AWS,您可以通过利用 bring-your-own-license (BYOL) 机会来节省成本,也就是说,重新利用现有许可证库存以用于云资源。通过基于规则的许可证消耗控制,管理员可以对新的和现有的云部署设置硬限制或软限制,在发生不合规的服务器之前停止使用它。 有关 License Manager 的更多信息,请参阅 [License Manager 指南](https://docs.aws.amazon.com/license-manager/latest/userguide/)。 通过将 License Manager 与关联起来 AWS Organizations,您可以: + 在整个组织中启用计算资源的跨账户发现。 + 查看和管理您拥有并在 AWS上运行的商用 Linux 订阅。有关更多信息,请参阅 [AWS License Manager中的 Linux 订阅](https://docs.aws.amazon.com/license-manager/latest/userguide/linux-subscriptions.html)。 使用以下信息来帮助您集 AWS License Manager 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 当您启用信任访问权限后,您组织的管理账户中会自动创建以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。这些角色允许 License Manager 在您组织中的组织账户内执行支持的操作。 只有在禁用 License Manager 和 Organizations 之间的信任访问权限,或者您从组织中删除成员账户时,您才能删除或修改这些角色。 + `AWSLicenseManagerMasterAccountRole` + `AWSLicenseManagerMemberAccountRole` + `AWSServiceRoleForAWSLicenseManagerRole` + `AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService` 有关更多信息,请参阅 [License Manager – 管理账户角色](https://docs.aws.amazon.com/license-manager/latest/userguide/management-role.html)、[License Manager – 成员账户角色](https://docs.aws.amazon.com/license-manager/latest/userguide/member-role.html)和 [License Manager – Linux 订阅角色](https://docs.aws.amazon.com/license-manager/latest/userguide/linux-subscriptions-role.html)。 ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。License Manager 使用的服务相关角色为以下服务委托人授予访问权限: + `license-manager.amazonaws.com` + `license-manager.member-account.amazonaws.com` + `license-manager-linux-subscriptions.amazonaws.com` ## 使用 License Manager 启用信任访问权限 启用信任访问权限 您只能使用 AWS License Manager启用可信访问权限。 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 **使用 License Manager 启用信任访问权限** 您必须使用您的 AWS Organizations 管理帐户登录许可证管理器控制台,并将其与您的许可证管理器帐户关联。有关更多信息,请参阅[中的设置 AWS License Manager](https://docs.aws.amazon.com/license-manager/latest/userguide/settings.html)。 ## 使用 License Manager 禁用信任访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 您只能使用 Organizations 工具禁用可信访问权限。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 您可以运行以下命令在 Organization AWS License Manager s 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal license-manager.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 要禁用 Linux 订阅的信任访问权限,请执行以下操作: ``` $ aws organizations disable-aws-service-access \ --service-principal license-manager-linux-subscriptions.amazonaws.com ``` + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为 License Manager 启用委托管理员账户 启用委托管理员账户 将成员账户指定为组织的委托管理员时,该账户中的用户和角色可以对 License Manager 执行管理操作,否则只能由组织管理账户中的用户或角色执行操作。这可以帮助您将组织的管理与 License Manager 的管理分开。 要将成员账户委托为 License Manager 的管理员,请按照《License Manager 用户指南》**中[注册委托管理员](https://docs.aws.amazon.com/license-manager/latest/userguide/settings.html#delegated-administrator)内的步骤操作。 # AWS Managed Services (AMS) 自助报告 (SSR) 和 AWS Organizations AWS Managed Services (AMS) 自助报告 (SSR) [AWS Managed Services (AMS) 自助报告 (SSR)](https://aws.amazon.com/managed-services) 从各种本地 AWS 服务收集数据,并提供对主要 AMS 产品报告的访问权限。SSR 提供的信息可用于支持运维、配置管理、资产管理、安全管理和合规性。 与集成后 AWS Organizations,您可以启用聚合自助服务报告 (SSR)。这是一项 AMS 功能,允许 Advanced 和 Accelerate 客户查看在组织级别跨账户聚合的现有自助服务报告。这使您可以了解关键运营指标,例如补丁合规性、备份覆盖范围以及其中的所有 AMS 管理的账户的事件。 AWS Organizations 使用以下信息来帮助您集成 AWS Managed Services (AMS) 自助报告 (SSR)。 AWS Organizations ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 AMS 在您组织中的组织账户内执行支持的操作。 只有在禁用 AMS 和 Organizations 之间的可信访问权限时,或者从组织中移除成员账户,才能删除或修改此角色。 + `AWSServiceRoleForManagedServices_SelfServiceReporting` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。AMS 使用的服务关联角色为以下服务主体授予访问权限: + `selfservicereporting.managedservices.amazonaws.com` ## 启用 AMS 的可信访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令将 AWS Managed Services (AMS) 自助报告 (SSR) 作为可信服务启用 Organizations。 ``` $ aws organizations enable-aws-service-access \ --service-principal selfservicereporting.managedservices.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 禁用 AMS 的可信访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 您只能使用 Organizations 工具禁用可信访问权限。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令将 AWS Managed Services (AMS) 自助报告 (SSR) 禁用 Organizations 的可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal selfservicereporting.managedservices.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 启用 AMS 委派管理员账户 启用委托管理员账户 委派管理员账户可以在 AMS 控制台的单个聚合视图中查看所有账户的 AMS 报告(例如补丁和备份)。 您可以使用 AMS 控制台或 API,或者通过使用 Organizations `RegisterDelegatedAdministrator` CLI 或 SDK 操作来添加委派管理员。 ## 禁用 AMS 委派管理员 只有组织管理账户中的管理员才能配置 AMS 委派管理员。 您可以使用 AMS 控制台或 API,或者通过使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作来移除委派管理员。 # 亚马逊 Macie 和 AWS Organizations Amazon Macie Amazon Macie 是一个完全托管式数据安全和数据隐私服务,它使用机器学习和模式匹配来发现、监控并帮助您保护 Amazon Simple Storage Service(Amazon S3)中的敏感数据。Macie 自动发现敏感数据(例如个人可识别信息(PII)和知识产权),让您更好地了解组织在 Amazon S3 中存储的数据。 有关更多信息,请参阅*[《Amazon Macie 用户指南》](https://docs.aws.amazon.com/macie/latest/userguide/)*中的[使用 AWS Organizations管理多个 Amazon Macie 账户](https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html)。 使用以下信息来帮助您将 Amazon Macie 与集成。 AWS Organizations ## 启用集成时,创建了一个服务相关角色 服务关联角色 在启用可信访问权限时,系统自动在组织的委托 Macie 管理员账户中创建以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色将允许 Macie 为您组织中的账户执行支持的操作。 只有在禁用 Macie 和 Organizations 之间的可信访问权限,或者您将该成员账户从组织中删除时,才能删除此角色。 + `AWSServiceRoleRorAmazonMacie` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Macie 使用的服务相关角色为以下服务委托人授予访问权限: + `macie.amazonaws.com` ## 使用 Macie 启用信任访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 Amazon Macie 控制台或 AWS Organizations 控制台启用信任访问权限。 **重要** 强烈建议您尽可能使用 Amazon Macie 控制台或工具来实现与 Organizations 的集成。这可让 Amazon Macie 执行所需的任何配置,例如创建服务所需的资源。请仅在您无法使用 Amazon Macie 提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 Amazon Macie 控制台或工具启用信任访问权限,则您无需完成这些步骤。 **要使用 Macie 控制台启用信任访问权限,请执行以下操作:** Amazon Macie 需要可信访问权限 AWS Organizations 才能将成员账户指定为贵组织的 Macie 管理员。如果您使用 Macie 管理控制台配置委托管理员,Macie 会自动为您启用信任访问权限。 有关更多信息,请参阅*《Amazon Macie 用户指南》*中的[在 Amazon Macie 中集成和配置组织](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao-integrate.html)。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令,允许将 Amazon Macie 作为 Organizations 的可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal macie.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 为 Macie 启用委托管理员账户 启用委托管理员账户 将成员账户指定为组织的委托管理员时,该账户中的用户和角色可以对 Macie 执行管理操作,否则只能由组织管理账户中的用户或角色执行操作。这可以帮助您将组织的管理与 Macie 的管理分开。 **最小权限** 只有 Organizations 管理账户中具有以下权限的用户或角色才能将成员账户配置为组织中 Macie 的委托管理员: `organizations:EnableAWSServiceAccess` `macie:EnableOrganizationAdminAccount` **指定一个成员账户作为 Macie 的委托管理员** Amazon Macie 需要可信访问权限 AWS Organizations 才能将成员账户指定为贵组织的 Macie 管理员。如果您使用 Macie 管理控制台配置委托管理员,Macie 会自动为您启用信任访问权限。 有关更多信息,请参阅 [https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html#register-delegated-admin](https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html#register-delegated-admin) # AWS Marketplace 和 AWS Organizations AWS Marketplace AWS Marketplace 是一个精心策划的数字目录,可用于查找、购买、部署和管理构建解决方案和运营业务所需的第三方软件、数据和服务。 AWS Marketplace 使用 AWS License Manager 在中购买时创建和管理许可证 AWS Marketplace。当您与组织中的其他账户共享(授予访问权限)您的许可证时, AWS Marketplace 创建和管理这些账户的新许可证。 有关更多信息,请参阅《AWS Marketplace 买家指南》**中的 [AWS Marketplace的服务相关角色](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-using-service-linked-roles.html)。 使用以下信息来帮助您集 AWS Marketplace 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色 AWS Marketplace 允许在组织中的组织账户中执行支持的操作。 只有在禁用 AWS Marketplace 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。 + `AWSServiceRoleForMarketplaceLicenseManagement` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。使用的服务相关角色向以下服务主体 AWS Marketplace 授予访问权限: + `license-management.marketplace.amazonaws.com` ## 使用启用可信访问 AWS Marketplace 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 AWS Marketplace 控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用 AWS Marketplace 控制台或工具来启用与 Organizations 的集成。这允许 AWS Marketplace 执行它需要的任何配置,例如创建服务所需的资源。请仅在您无法使用 AWS Marketplace提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 AWS Marketplace 控制台或工具启用可信访问,则无需完成这些步骤。 **使用 AWS Marketplace 控制台启用可信访问** 请参阅《*AWS Marketplace 买家指南*》中的[为 AWS Marketplace创建服务相关角色](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-using-service-linked-roles.html#buyer-creating-service-linked-role)。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Marketplace**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用 AWS Marketplace的可信访问权限**对话框中,键入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。 AWS Marketplace ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS Marketplace zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal license-management.marketplace.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用禁用可信访问 AWS Marketplace 禁用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您只能使用 Organizations 工具启用可信访问权限。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS Marketplace ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal license-management.marketplace.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ # AWS Marketplace 私人市场 AWS Organizations AWS Marketplace 私人市场 AWS Marketplace 是一个精心策划的数字目录,可用于查找、购买、部署和管理构建解决方案和运营业务所需的第三方软件、数据和服务。私人市场为您提供广泛的可用产品目录 AWS Marketplace,以及对这些产品的精细控制。 AWS Marketplace Private Marketplace 使您能够创建多个私有市场体验,这些体验与您的整个组织 OUs、一个或多个账户、组织中的一个或多个账户相关联,每个账户都有自己的一套经批准的产品。您的 AWS 管理员还可以通过公司或团队的徽标、消息和配色方案将公司品牌应用于每一次私人市场体验。 有关更多信息,请参阅《AWS Marketplace 买家指南》**中的 [Using roles to configure Private Marketplace in AWS Marketplace](https://docs.aws.amazon.com/marketplace/latest/buyerguide/using-service-linked-roles-private-marketplace.html)。 使用以下信息来帮助您将P AWS Marketplace rivate Marketplace与集成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 当您使用 P AWS Marketplace rivate Marketplace 控制台启用可信访问时,将在您组织的管理账户中自动创建以下服务相关角色。此角色允许 Private Marketplace 在您组织中的组织账户内执行支持的操作。只有在您禁用 Private Marketplace 和 Organization AWS Marketplace s 之间的可信访问权限并取消组织中所有私有市场体验的关联后,您才能删除或修改此角色。 如果您直接从 Organizations 控制台、CLI 或 SDK 启用可信访问,则不会自动创建服务相关角色。 + `AWSServiceRoleForPrivateMarketplaceAdmin` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Private Marketplace 使用的服务相关角色将为以下服务主体授予访问权限: + `private-marketplace.marketplace.amazonaws.com` ## 启用与 Private Marketplace 的可信访问 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 P AWS Marketplace rivate Marketplace 控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用 P AWS Marketplace rivate Marketplace 控制台或工具来启用与 Organizations 的集成。这允许 P AWS Marketplace rivate Marketplace 执行其所需的任何配置,例如创建服务所需的资源。只有当你无法使用P AWS Marketplace rivate Marketplace提供的工具启用集成时,才能继续执行这些步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 P AWS Marketplace rivate Marketplace 控制台或工具启用可信访问,则无需完成这些步骤。 **使用 Private Marketplace 控制台启用可信访问** 请参阅《AWS Marketplace 买家指南》中的 [Getting started with Private Marketplace](https://docs.aws.amazon.com/marketplace/latest/buyerguide/private-catalog-administration.html#private-marketplace-getting-started)**。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Marketplace Private Marketplace**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在 “**为 P AWS Marketplace rivate Marketplace **启用**可信访问**” 对话框中,键入 enable 进行确认,然后选择 “**启用可信访问**”。 1. 如果您只是 Private Marketplace 的管理员 AWS Organizations,请告诉 P AWS Marketplace rivate Marketplace 的管理员,他们现在可以 AWS Organizations 从服务控制台启用该服务。 ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令将 P AWS Marketplace rivate Marketplace 启用为 Organizations 的可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal private-marketplace.marketplace.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 禁用与 Private Marketplace 的可信访问 禁用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您只能使用 Organizations 工具禁用可信访问权限。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令将 P AWS Marketplace rivate Marketplace 禁用 Organizations 作为可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal private-marketplace.marketplace.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为 Private Marketplace 启用委派管理员账户 启用委托管理员账户 管理账户的管理员可以将 Private Marketplace 的管理权限委派给被称为委派管理员的指定成员账户。**要将账户注册为私有市场的委托管理员,管理账户管理员必须确保启用可信访问权限和服务相关角色,选择**注册新管理员**,提供 12 位 AWS 账号,然后选择提交。** 管理账户和委派管理员账户可以执行 Private Marketplace 管理任务,例如创建体验、更新品牌设置、关联受众或将其取消关联、添加或移除产品以及批准或拒绝待处理的请求。 要使用 Private Marketplace 控制台配置委派管理员,请参阅《AWS Marketplace 买家指南》中的 [Creating and managing a private marketplace](https://docs.aws.amazon.com/marketplace/latest/buyerguide/private-catalog-administration.html#private-marketplace-managing)**。 您还可以使用 Organizations `RegisterDelegatedAdministrator` API 配置委派管理员。有关更多信息,请参阅 Organizati *ons 命令参考[ RegisterDelegatedAdministrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)*中的。 ## 为 Private Marketplace 禁用委派管理员 只有组织管理账户中的管理员才能为 Private Marketplace 配置委派管理员。 您可以使用 Private Marketplace 控制台或 API,或者通过使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作,来移除委派管理员。 要使用 Private Marketplace 控制台禁用 Private Marketplace 委派管理员账户,请参阅《AWS Marketplace 买家指南》中的 [Creating and managing a private marketplace](https://docs.aws.amazon.com/marketplace/latest/buyerguide/private-catalog-administration.html#private-marketplace-managing)** # AWS Marketplace 采购见解仪表板和 AWS Organizations AWS Marketplace 采购见解仪表板 您可以使用 AWS Marketplace 采购见解控制面板查看组织中所有 AWS 账户的协议和成本分析数据。与 Organizations 集成后, AWS Marketplace 采购见解控制面板会监听组织变更,例如加入组织的账户,并汇总相应协议的数据以构建其仪表板。 有关更多信息,请参阅《AWS Marketplace 买家指南》中的 [Procurement insights](https://docs.aws.amazon.com/marketplace/latest/buyerguide/procurement-insights.html)**。 使用以下信息来帮助您将 AWS Marketplace 采购见解仪表板与集成 AWS Organizations。 ## 启用集成时创建的服务相关角色和托管式策略 服务关联角色 激活 AWS Marketplace 采购见解控制面板后,将创建[https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-service-linked-role-procurement.html](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-service-linked-role-procurement.html)服务相关角色和[https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#aws-procurement-insights](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#aws-procurement-insights) AWS 托管策略。 ## 利用 AWS Marketplace 采购见解实现可信访问 启用信任访问权限 启用可信访问权限使 AWS Marketplace 采购见解控制面板能够与客户的 Organizations 服务集成。 AWS Marketplace 采购见解仪表板监听组织变更,例如加入组织的账户,并汇总相应协议的数据以构建其仪表板。 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 AWS Marketplace 采购见解控制面板控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用 AWS Marketplace 采购见解控制面板控制台或工具来实现与 Organizations 的集成。这使 AWS Marketplace 采购见解仪表板可以执行其所需的任何配置,例如创建服务所需的资源。只有当你无法使用 AWS Marketplace 采购见解控制面板提供的工具启用集成时,才能继续执行这些步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 AWS Marketplace 采购见解控制面板控制台或工具启用可信访问,则无需完成这些步骤。 **通过启用 AWS Marketplace 采购见解仪表板实现可信访问** 请参阅[《*AWS Marketplace 买家指南*》中的 “启用 AWS Marketplace 采购见解控制面板](https://docs.aws.amazon.com/marketplace/latest/buyerguide/enabling-procurement-insights.html)”。 **使用 Organizations 工具启用可信访问** 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Marketplace 采购详情控制面板**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在 “**为 AWS Marketplace 采购见解启用可信访问控制面板**” 对话框中,键入 **enab** le 进行确认,然后选择 “**启用可信访问**”。 1. 如果您仅是的管理员 AWS Organizations,请告诉 AWS Marketplace 采购见解仪表板的管理员,他们现在可以 AWS Organizations 从服务控制台启用该服务。 ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令,将 AWS Marketplace 采购见解仪表板启用为 Organizations 的可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal procurement-insights.marketplace.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用 AWS Marketplace 采购见解禁用可信访问 禁用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您只能使用 Organizations 工具禁用可信访问权限。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令将 AWS Marketplace 采购见解仪表板作为 Organizations 的可信服务禁用。 ``` $ aws organizations disable-aws-service-access \ --service-principal procurement-insights.marketplace.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 启用委托管理员账户以获取 AWS Marketplace 采购见解 启用委托管理员账户 要在 AWS Marketplace 采购见解控制台中配置委派管理员,请参阅《*AWS Marketplace 买家*指南》中的[注册委托管理员>](https://docs.aws.amazon.com/marketplace/latest/buyerguide/management-delegates.html#management-register-delegate)。 您还可以使用 Organizations `RegisterDelegatedAdministrator` API 配置委派管理员。有关更多信息,请参阅 Organizati *ons 命令参考[ RegisterDelegatedAdministrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)*中的。 ## 禁用委派管理员获取 AWS Marketplace 采购见解 只有组织管理账户中的管理员才能为 AWS Marketplace 采购见解配置委派管理员。 要通过 AWS Marketplace 采购见解控制台移除委派管理员,请参阅《*AWS Marketplace 买家指南》*中的[取消注册委托管理员](https://docs.aws.amazon.com/marketplace/latest/buyerguide/management-delegates.html#management-deregister-delegate)。 您还可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作来移除委派管理员。 # AWS 网络管理员和 AWS Organizations AWS 网络管理器 Network Manager 使您能够跨 AWS 账户、区域和本地位置集中管理您的 AWS Cloud WAN 核心网络和 T AWS ransit Gateway 网络。借助多账户支持,您可以为任何账户 AWS 创建单个全球网络,并使用 Network Manager 控制台将多个账户的传输网关注册到全球网络。 在 Network Manager 和 Organizations 之间启用可信访问权限后,注册的委托管理员和管理账户可以利用成员账户中部署的服务相关角色,从而描述附加到该全球网络的资源。在 Network Manager 控制台中,注册的委托管理员和管理账户可以代入成员账户中部署的以下自定义 IAM 角色:`CloudWatch-CrossAccountSharingRole`(用于多账户监控和事件通知)和 `IAMRoleForAWSNetworkManagerCrossAccountResourceAccess`(用于查看和管理多账户资源的控制台切换角色访问权限) **重要** 我们强烈建议使用 Network Manager 控制台来管理多账户设置(enable/disable trusted access and register/deregister已授权的管理员)。从控制台管理这些设置时,系统会自动将所有必需的服务相关角色和自定义 IAM 角色部署到多账户访问所需的成员账户,并进行相应的管理。 当您在网络管理器控制台中为网络管理器启用可信访问时,控制台还会启用 CloudFormation StackSets 服务。Network Manager 用于 StackSets 部署多账户管理所需的自定义 IAM 角色。 有关将 Network Manager 与 Organizations 集成的更多信息,请参阅《Amazon VPC 用户指南》中的[在 Network Manager 中使用 AWS Organizations管理多个账户](https://docs.aws.amazon.com/vpc/latest/tgwnm/tgw-nm-multi.html)。 使用以下信息来帮助您将 AWS 网络管理器与集成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 启用可信访问权限时,系统将自动在所列组织账户中创建以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。借助这些角色,Network Manager 将能够在组织中的账户内执行支持的操作。如果禁用可信访问权限,Network Manager 将不会从组织中的账户内删除这些角色。您可以使用 IAM 控制台将其手动删除。 管理账户 + `AWSServiceRoleForNetworkManager` + `AWSServiceRoleForCloudFormationStackSetsOrgAdmin` + `AWSServiceRoleForCloudWatchCrossAccount` 成员账户 + `AWSServiceRoleForNetworkManager` + ` AWSServiceRoleForCloudFormationStackSetsOrgMember` 将某个成员账户注册为委托管理员时,系统将在该委托管理员账户中自动创建以下附加角色: + `AWSServiceRoleForCloudWatchCrossAccount` ## 服务相关角色使用的服务委托人 服务委托人 服务相关角色只能由为该角色定义的信任关系授权的服务主体代入。 + 对于 `AWSServiceRoleForNetworkManager service-linked` 角色,唯一拥有访问权限的服务主体是 `networkmanager.amazonaws.com`。 + 对于 `AWSServiceRoleForCloudFormationStackSetsOrgMember` 服务相关角色,唯一拥有访问权限的服务主体是 `member.org.stacksets.cloudformation.amazonaws.com`。 + 对于 `AWSServiceRoleForCloudFormationStackSetsOrgAdmin` 服务相关角色,唯一拥有访问权限的服务主体是 `stacksets.cloudformation.amazonaws.com`。 + 对于 `AWSServiceRoleForCloudWatchCrossAccount` 服务相关角色,唯一拥有访问权限的服务主体是 `cloudwatch-crossaccount.amazonaws.com`。 如果删除这些角色,则将影响 Network Manager 的多账户功能。 ## 使用 Network Manager 启用可信访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 只有 Organizations 管理账户中的管理员才有权启用对其他 AWS 服务的可信访问。务必要使用 Network Manager *控制台*启用可信访问权限,以免出现权限问题。有关更多信息,请参阅《Amazon VPC 用户指南》中的[在 Network Manager 中使用 AWS Organizations管理多个账户](https://docs.aws.amazon.com/vpc/latest/tgwnm/tgw-nm-multi.html)。 ## 使用 Network Manager 禁用可信访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 只有 Organizations 管理账户中的管理员才有权禁用其他 AWS 服务的可信访问权限。 **重要** 我们强烈建议您使用 Network Manager 控制台禁用可信访问权限。如果您以任何其他方式(例如使用 AWS CLI API 或 CloudFormation 控制台)禁用可信访问,则可能无法正确清理已部署 CloudFormation StackSets 和自定义 IAM 角色。要禁用可信服务访问权限,请登录 [Network Manager 控制台](https://console.aws.amazon.com/vpc/home#networkmanager)。 ## 为 Network Manager 启用委托管理员账户 启用委托管理员 将成员账户指定为组织的委托管理员后,该账户中的用户和角色将能够对 Network Manager 执行本来只能由组织管理账户中的用户或角色执行的管理操作。这有利于将组织的管理与 Network Manager 的管理分开。 有关如何将成员账户指定为组织中的 Network Manager 委托管理员的说明,请参阅《Amazon VPC 用户指南》中的[注册委托管理员](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)。 # Amazon Q 开发者和 AWS Organizations Amazon Q 开发者版 Amazon Q Developer 是一款由人工智能驱动的生成式对话助手,可以帮助您理解、构建、扩展和操作 AWS 应用程序。这也是一款基于机器学习的通用代码生成器,可实时提供代码建议。Amazon Q 开发者版的付费订阅版本需要 Organizations 集成。有关更多信息,请参阅《Amazon Q 用户指南》中的 [Account, IAM Identity Center, and Organizations setup](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-admin-setup-topic-account.html#admin-setup-org)**。 使用以下信息来帮助您集成 Amazon Q Developer AWS Organizations。 ## 服务关联角色 服务关联角色 `AWSServiceRoleForAmazonQDeveloper` 服务相关角色允许 Amazon Q 开发者版在您的组织内执行受支持的操作。按照 [IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)中[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)的说明,使用 Amazon Q 开发者版控制台、API 或 CLI 创建该角色。 如果您使用的是成员账户,则只有在 Amazon Q 开发者版与 Organizations 之间禁用可信访问,或者您从组织中移除该成员账户后,才能删除或修改此角色。 ## Amazon Q 开发者版使用的服务主体 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Amazon Q 开发者版使用的服务相关角色为以下服务主体授予访问权限: + `q.amazonaws.com` ## 启用与 Amazon Q 开发者版的可信访问 启用信任访问权限 Amazon Q 开发者版专业套餐使用可信访问,将组织管理账户中的设置与同一组织中的成员账户共享。 例如,Amazon Q 开发者版专业套餐管理员在 Organizations 管理账户中工作时,可以启用带代码参考的建议。如果启用了可信访问,则还会为该组织中的所有成员账户启用带代码参考的建议。 您只能使用 Amazon Q 开发者版启用可信访问权限。 要为 Amazon Q 开发者版启用可信访问,请完成以下过程。 1. 在 Amazon Q 开发者版的**设置**页面中,选择**成员账户设置**下的**编辑**。 1. 在弹出窗口中,选择**开启**。 1. 选择**保存**。 有关更多信息,请参阅《Amazon Q 开发者版用户指南》**中的 [Enabling trusted access](https://docs.aws.amazon.com//amazonq/latest/qdeveloper-ug/q-admin-setup-subscribe-general.html#q-admin-trusted-access)。 ## 禁用与 Amazon Q 开发者版的可信访问 禁用信任访问权限 您只能使用 Amazon Q 开发者版工具禁用可信访问权限。 要为 Amazon Q 开发者版禁用可信访问,请完成以下过程。 1. 在 Amazon Q 开发者版的**设置**页面中,选择**成员账户设置**下的**编辑**。 1. 在弹出窗口中,选择**关闭**。 1. 选择**保存**。 有关更多信息,请参阅《Amazon Q 开发者版用户指南》**中的 [Enabling trusted access](https://docs.aws.amazon.com//amazonq/latest/qdeveloper-ug/q-admin-setup-subscribe-general.html#q-admin-trusted-access)。 # AWS Resource Access Manager 和 AWS Organizations AWS Resource Access Manager AWS Resource Access Manager (AWS RAM) 允许您与其他人共享您拥有的指定 AWS 资源 AWS 账户。这是一项集中式服务,可为跨多个账户共享不同类型的 AWS 资源提供一致的体验。 有关的更多信息 AWS RAM,请参阅《[https://docs.aws.amazon.com/ram/latest/userguide/what-is.html](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)。 使用以下信息来帮助您集 AWS Resource Access Manager 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色 AWS RAM 允许在组织中的组织账户中执行支持的操作。 只有在禁用 AWS RAM 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。 + `AWSServiceRoleForResourceAccessManager` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。使用的服务相关角色向以下服务主体 AWS RAM 授予访问权限: + `ram.amazonaws.com` ## 使用启用可信访问 AWS RAM 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 AWS Resource Access Manager 控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用 AWS Resource Access Manager 控制台或工具来启用与 Organizations 的集成。这允许 AWS Resource Access Manager 执行它需要的任何配置,例如创建服务所需的资源。请仅在您无法使用 AWS Resource Access Manager提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 AWS Resource Access Manager 控制台或工具启用可信访问,则无需完成这些步骤。 **使用 AWS RAM 控制台或 CLI 启用可信访问** 请参阅《AWS RAM 用户指南》**中的[允许与 AWS Organizations共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Resource Access Manager**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用 AWS Resource Access Manager的可信访问权限**对话框中,键入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。 AWS Resource Access Manager ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS Resource Access Manager zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal ram.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用禁用可信访问 AWS RAM 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 您可以使用 AWS Resource Access Manager 或 AWS Organizations 工具禁用可信访问。 **重要** 我们强烈建议您尽可能使用 AWS Resource Access Manager 控制台或工具来禁用与 Organizations 的集成。这允许 AWS Resource Access Manager 执行它需要的任何清理,例如删除服务不再需要的资源或访问角色。仅当您无法使用 AWS Resource Access Manager提供的工具禁用集成时,才会使用这些步骤进行处理。 如果您使用 AWS Resource Access Manager 控制台或工具禁用可信访问,则无需完成这些步骤。 **使用 AWS Resource Access Manager 控制台或 CLI 禁用可信访问** 请参阅《AWS RAM 用户指南》**中的[允许与 AWS Organizations共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。 您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **使用 Organizations 控制台禁用信任服务访问权限** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Resource Access Manager**。 1. 选择 **Disable trusted access(禁用信任访问权限)**。 1. 在**禁用 AWS Resource Access Manager的可信访问权限**对话框中,键入**禁用**进行确认,然后选择**禁用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。 AWS Resource Access Manager ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS Resource Access Manager ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal ram.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ # AWS 资源探索器 和 AWS Organizations AWS 资源探索器 AWS 资源探索器 是一项资源搜索和发现服务。借助资源管理器,您可以使用类似互联网搜索引擎的体验来浏览您的资源,例如 Amazon Elastic Compute Cloud 实例、Amazon Kinesis Data Streams 或 Amazon DynamoDB 表。您可以使用资源元数据(例如名称、标签和)搜索资源 IDs。资源管理器可在您的账户中跨 AWS 区域运行,以简化您的跨区域工作负载。 当你将 Resource Explorer 与 AWS Organizations集成时,你可以将 AWS 账户 来自组织的多个证据纳入评估范围,从而从更广泛的来源收集证据。 使用以下信息来帮助您集 AWS 资源探索器 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许资源管理器在您组织中的组织账户内执行支持的操作。 只有在禁用资源管理器和 Organizations 之间的信任访问权限时,或者如果您从组织中删除成员账户,才能删除或修改此角色。 有关资源管理器如何使用此角色的详细信息,请参阅《*AWS 资源探索器 用户指南*》中的[使用服务相关角色](https://docs.aws.amazon.com/resource-explorer/latest/userguide/security_iam_service-linked-roles.html)。 + `AWSServiceRoleForResourceExplorer` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。资源管理器使用的服务相关角色将为以下服务主体授予访问权限: + `resource-explorer-2.amazonaws.com` ## 使用启用可信访问 AWS 资源探索器 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 Resource Explorer 需要具有可信访问权限, AWS Organizations 然后才能将成员帐户指定为组织的委派管理员。 您可以使用资源管理器控制台或 Organizations 控制台启用信任访问权限。强烈建议您尽可能使用资源管理器控制台或工具来实现与 Organizations 的集成。这允许 AWS 资源探索器 执行它需要的任何配置,例如创建服务所需的资源。 **使用资源管理器控制台启用可信访问权限** 有关启用可信访问权限的说明,请参阅《*AWS 资源探索器 用户指南*》中的[使用资源管理器的先决条件](https://docs.aws.amazon.com/resource-explorer/latest/userguide/getting-started-setting-up-prereqs.html)。 **注意** 如果您使用 AWS 资源探索器 控制台配置委派管理员,则 AWS 资源探索器 会自动为您启用可信访问权限。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS 资源探索器 zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal resource-explorer-2.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用资源管理器禁用信任访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 只有 AWS Organizations 管理账户中的管理员才能使用禁用可信访问 AWS 资源探索器。 您可以使用 AWS 资源探索器 或 AWS Organizations 工具禁用可信访问。 **重要** 我们强烈建议您尽可能使用 AWS 资源探索器 控制台或工具来禁用与 Organizations 的集成。这允许 AWS 资源探索器 执行它需要的任何清理,例如删除服务不再需要的资源或访问角色。仅当您无法使用 AWS 资源探索器提供的工具禁用集成时,才会使用这些步骤进行处理。 如果您使用 AWS 资源探索器 控制台或工具禁用可信访问,则无需完成这些步骤。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS 资源探索器 ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal resource-explorer-2.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为资源管理器启用委托管理员账户 使用您的委托管理员账户创建多账户资源视图,并将其范围限定为一个组织单位或整个组织。通过 AWS Resource Access Manager 创建资源共享,您可以与组织中的任何账户共享多账户视图。 **最小权限** 只有 Organizations 管理账户中具有以下权限的用户或角色才能将成员账户配置为组织中资源管理器的委托管理员: `resource-explorer:RegisterAccount` 有关为资源管理器启用委托管理员账户的说明,请参阅《*AWS 资源探索器 用户指南*》中的[设置](https://docs.aws.amazon.com/resource-explorer/latest/userguide/getting-started-setting-up-prereqs.html)。 如果您使用 AWS 资源探索器 控制台配置委派管理员,则资源管理器会自动为您启用可信访问权限。 ------ #### [ AWS CLI, AWS API ] 如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs,则可以使用以下命令: + AWS CLI: ``` $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal resource-explorer-2.amazonaws.com ``` + AWS SDK:调用 Organizations `RegisterDelegatedAdministrator` 操作和成员账户的 ID 号,并将账户服务标识`resource-explorer-2.amazonaws.com`为参数。 ------ ## 为资源管理器禁用委托管理员 只有 Organizations 管理账户中或资源管理器委托管理员账户中的管理员才能删除资源管理器的委托管理员。您可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作禁用信任访问权限。 # AWS Security Hub CSPM 和 AWS Organizations AWS Security Hub CSPM AWS Security Hub CSPM 为您提供安全状态的全面视图, AWS 并帮助您根据安全行业标准和最佳实践检查您的环境。 Security Hub CSPM 从您的 AWS 账户、 AWS 服务 您使用的和支持的第三方合作伙伴产品中收集安全数据。它可以帮助您分析安全趋势并确定最高优先级的安全问题。 当你同时使用 Security Hub CSPM 时,你可以自动为所有账户启用 Security Hub CSPM,包括在添加新账户时为其启用 Security Hub CSPM。 AWS Organizations 这扩大了 Security Hub CSPM 检查和发现的覆盖范围,从而更全面、更准确地了解您的整体安全状况。 有关 Security Hub CSPM 的更多信息,请参阅《*[AWS Security Hub 用户](https://docs.aws.amazon.com/securityhub/latest/userguide/)*指南》。 使用以下信息来帮助您集 AWS Security Hub CSPM 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Security Hub CSPM 在组织中的账户中执行支持的操作。 只有在禁用 Security Hub CSPM 和 Organizations 之间的可信访问权限或从组织中删除成员帐户时,才能删除或修改此角色。 + `AWSServiceRoleForSecurityHub` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Security Hub CSPM 使用的服务相关角色向以下服务主体授予访问权限: + `securityhub.amazonaws.com` ## 使用 Security Hub CSPM 启用可信访问 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 当您为 Security Hub CSPM 指定委派管理员时,Security Hub CSPM 会自动为组织中的安全中心启用可信访问权限。 ## 使用 Security Hub CSPM 禁用可信访问 禁用信任访问权限 有关禁用可信访问所需权限的详细信息,请参阅《AWS Organizations 用户指南》中的[禁用可信访问所需的权限](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms)**。 在禁用可信访问权限之前,可以选择与组织的委派管理员合作,禁用成员账户的 Security Hub CSPM,并清理这些账户的 Security Hub CSPM 资源。 您可以使用 AWS Organizations 控制台、Organizations API 或来禁用可信访问 AWS CLI。只有组织管理帐户的管理员才能使用 Security Hub CSPM 禁用可信访问。 有关使用 Security Hub CSPM 禁用可信访问的说明,请参阅[禁用 Security Hub CSPM 与的集](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#disable-orgs-integration)成。 AWS Organizations ## 为 Security Hub CSPM 启用委托管理员 为 Security Hub CSPM 启用委托管理员 当您将成员账户指定为组织的委托管理员时,该账户中的用户和角色可以对 Security Hub CSPM 执行管理操作,否则这些操作只能由组织管理账户中的用户或角色执行。这可以帮助您将组织的管理与 Security Hub CSPM 的管理分开。 *有关信息,请参阅《用户指南》中的 “[指定 Security Hub CSPM 管理员帐户](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)”AWS Security Hub 。* **将成员账户指定为 Security Hub CSPM 的委托管理员** 1. 使用您的 Organizations 管理账户登录。 1. 执行下列操作之一: + 如果你的管理账户没有启用 Security Hub CSPM,则在 Security Hub CSPM 控制台上,选择 Go to Sec **urity Hub** CSPM。 + ****如果您的管理账户确实启用了 Security Hub CSPM,则在 Security Hub CSPM 控制台上,在 “常规” 下选择 “设置”。**** 1. 在 **Delegated Administrator (委托管理员)** 中,输入账户 ID。 ## 禁用 Security Hub CSPM 的委托管理员 仅组织管理账户可以删除委派的 Security Hub CSPM 管理员账户。 要更改委派的 Security Hub CSPM 管理员,必须先删除当前委派管理员账户并指定新账户。 如果您使用 Security Hub CSPM 控制台删除一个区域的委派管理员,该管理员将在所有区域中被自动删除。 Security Hub CSPM API 仅从发出 API 调用或命令的区域中删除委派的 Security Hub CSPM 管理员账户。您必须在其他区域重复执行此操作。 如果您使用 Organizations API 删除委派的 Security Hub CSPM 管理员账户,则该账户将在所有区域中被自动删除。 有关禁用委派的 Security Hub CSPM 管理员的说明,请参阅[删除或更改委派的](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#remove-admin-overview)管理员。 # 亚马逊 S3 存储镜头和 AWS Organizations Amazon S3 Storage Lens 存储统计管理工具 通过向您的组织授予 Amazon S3 Storage Lens 可信访问权限,即允许其收集和汇总组织 AWS 账户 内所有部门的指标。S3 Storage Lens 通过访问属于您组织的账户列表来实现此目的,并收集和分析所有账户的存储和使用情况以及活动指标。 有关更多信息,请参阅《Amazon S3 Storage Lens 用户指南》**中的[将服务相关角色用于 Amazon S3 Storage Lens](https://docs.aws.amazon.com/AmazonS3/latest/dev/using-service-linked-roles.html)。 使用以下信息来帮助您将 Amazon S3 存储镜头与集成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 在启用可信访问权限且 Storage Lens 配置已应用到您的企业时,系统自动在您企业的委托管理员账户中创建以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色允许 Amazon S3 Storage Lens 在您组织中的组织账户内执行支持的操作。 只有在禁用 Amazon S3 Storage Lens 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。 + `AWSServiceRoleForS3StorageLens` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Amazon S3 Storage Lens 使用的服务相关角色为以下服务委托人授予访问权限: + `storage-lens.s3.amazonaws.com` ## 为 Amazon S3 Storage Lens 启用信任访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 Amazon S3 Storage Lens 控制台或 AWS Organizations 控制台启用信任访问权限。 **重要** 强烈建议您尽可能使用 Amazon S3 Storage Lens 控制台或工具来实现与 Organizations 的集成。这可让 Amazon S3 Storage Lens 执行所需的任何配置,例如创建服务所需的资源。请仅在您无法使用 Amazon S3 Storage Lens 提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 Amazon S3 Storage Lens 控制台或工具启用信任访问权限,则您无需完成这些步骤。 **使用 Amazon S3 控制台启用信任访问权限** 请参阅《Amazon Simple Storage Service 用户指南》**中的[为 S3 Storage Lens 存储统计管理工具启用可信访问](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/storage_lens_with_organizations.html#storage_lens_with_organizations_enabling_trusted_access)。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **Amazon S3 Storage Lens 存储统计管理工具**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用 Amazon S3 Storage Lens 存储统计管理工具的可信访问权限**对话框中,输入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告诉 Amazon S3 Storage Lens 的管理员,他们现在可以 AWS Organizations 从服务控制台启用该服务。 ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令,允许将 Amazon S3 Storage Lens 存储统计管理工具作为 Organizations 的可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal storage-lens.s3.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 为 Amazon S3 Storage Lens 禁用信任访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 您只能使用 Amazon S3 Storage Lens 存储统计管理工具来禁用可信访问权限。 您可以使用 Amazon S3 控制台、 AWS CLI 或任一控制台禁用可信访问 AWS SDKs。 **使用 Amazon S3 控制台禁用信任访问权限** 请参阅《Amazon Simple Storage Service 用户指南》**中的[为 S3 Storage Lens 存储统计管理工具禁用可信访问](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/storage_lens_with_organizations.html#storage_lens_with_organizations_disabling_trusted_access)。 ## 为 Amazon S3 Storage Lens 启用委托管理员账户。 启用委托管理员账户 将成员账户指定为组织的委托管理员时,该账户中的用户和角色可以对 Amazon S3 Storage Lens 执行管理操作,否则只能由组织管理账户中的用户或角色执行操作。这可以帮助您将组织的管理与 Amazon S3 Storage Lens 的管理分开。 **最小权限** 只有 Organizations 管理账户中具有以下权限的用户或角色才能将成员账户配置为组织中 Amazon S3 Storage Lens 存储统计管理工具的委托管理员: `organizations:RegisterDelegatedAdministrator` `organizations:DeregisterDelegatedAdministrator` Amazon S3 Storage Lens 在您的组织中最多支持 5 个委托管理员账户。 **指定一个成员账户作为 Amazon S3 Storage Lens 的委托管理员** 您可以使用 Amazon S3 控制台、 AWS CLI 或任意控制台注册委托管理员 AWS SDKs。要使用 Amazon S3 控制台将某个成员账户注册为组织的委派管理员账户,请参阅《Amazon Simple Storage Service 用户指南》中的[为 S3 Storage Lens 存储统计管理工具注册委派管理员](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/storage_lens_with_organizations.html#storage_lens_with_organizations_registering_delegated_admins)**。 **为 Amazon S3 Storage Lens 取消注册委托管理员** 您可以使用 Amazon S3 控制台、 AWS CLI 或任意控制台取消注册委托管理员。 AWS SDKs要使用 Amazon S3 控制台取消注册委派管理员,请参阅《Amazon Simple Storage Service 用户指南》中的[取消注册 S3 Storage Lens 存储统计管理工具的委派管理员](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/storage_lens_with_organizations.html#storage_lens_with_organizations_deregistering_delegated_admins)**。 # AWS 安全事件响应和 AWS Organizations AWS 安全事件响应 AWS Security Incident Response 是一项安全服务,可提供全天候的人工辅助安全事件支持,以帮助客户快速响应证书盗用和勒索软件攻击等网络安全事件。通过与 Organizations 集成,您可以为整个组织提供安全保障。有关更多信息,请参阅《[AWS 安全事件响应*用户指南》 AWS Organizations中的 “使用管理安全事件响应*帐户](https://docs.aws.amazon.com/security-ir/latest/userguide/security-ir-organizations.html)”。 使用以下信息来帮助您将 AWS 安全事件响应与集成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 当您启用信任访问权限后,您组织的管理账户中会自动创建以下服务相关角色。 + `AWSServiceRoleForSecurityIncidentResponse`-用于创建安全事件响应会员资格-您通过订阅该服务 AWS Organizations。 + `AWSServiceRoleForSecurityIncidentResponse_Triage`:仅在注册期间启用分类功能时使用。 ## 安全事件响应使用的服务主体 服务主体 上一节中的服务关联角色只能由为角色定义的信任关系授权的服务主体代入。安全事件响应使用的服务关联角色为以下服务主体授予访问权限: + `security-ir.amazonaws.com` ## 启用对安全事件响应的可信访问权限 启用信任访问权限 启用对安全事件响应的可信访问权限,让该服务能够跟踪您的组织结构,并确保组织中的所有账户都具备有效的安全事件覆盖范围。您启用分类功能时,还允许服务使用成员账户中的服务关联角色来实现分类功能。 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 AWS 安全事件响应控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用 AWS 安全事件响应控制台或工具来启用与 Organizations 的集成。这允许 AWS 安全事件响应执行其所需的任何配置,例如创建服务所需的资源。只有在无法使用 AWS 安全事件响应提供的工具启用集成时,才能继续执行这些步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 AWS 安全事件响应控制台或工具启用可信访问,则无需完成这些步骤。 您使用安全事件响应控制台进行设置和管理时,Organizations 会自动启用 Organizations 的可信访问权限。如果您使用安全事件响应, CLI/SDK 则必须使用 Enable Access [API 手动启用可信AWSService访问](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)。要了解如何通过安全事件响应控制台启用可信访问,请参阅《*安全事件响应用户指南》*中的 “[为 AWS 账户管理启用可信访问](https://docs.aws.amazon.com/security-ir/latest/userguide/using-orgs-trusted-access.html)”。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS 安全事件响应**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在 “**为 AWS 安全事件响应启用可信访问**” 对话框中,键入 en **ab** le 进行确认,然后选择 “**启用可信访问**”。 1. 如果您仅是的管理员 AWS Organizations,请告知 AWS 安全事件响应的管理员,他们现在可以 AWS Organizations 从服务控制台启用该服务。 ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令,将 “ AWS 安全事件响应” 作为 Organizations 的可信服务启用。 ``` $ aws organizations enable-aws-service-access \ --service-principal security-ir.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 禁用安全事件响应的可信访问权限 禁用信任访问权限 只有 Organizations 管理账户中的管理员可以禁用安全事件响应的可信访问权限。 您只能使用 Organizations 工具禁用可信访问权限。 您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **使用 Organizations 控制台禁用信任服务访问权限** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS 安全事件响应**。 1. 选择 **Disable trusted access(禁用信任访问权限)**。 1. 在 “**为 AWS 安全事件响应禁用可信访问**” 对话框中,键入 dis **able** 进行确认,然后选择 “**禁用可信访问**”。 1. 如果您仅是的管理员 AWS Organizations,请告诉 “ AWS 安全事件响应” 的管理员,他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令将 AWS 安全事件响应作为 Organizations 的可信服务禁用。 ``` $ aws organizations disable-aws-service-access \ --service-principal security-ir.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 启用安全事件响应的委派管理员账户 启用委托管理员 将成员账户指定为组织的委派管理员后,该账户中的用户和角色可执行本来只能由组织管理账户中的用户或角色执行的安全事件响应管理操作。这可以帮助您将组织的管理与安全事件响应的管理分开。有关更多信息,请参阅《[AWS 安全事件响应*用户指南》 AWS Organizations中的 “使用管理安全事件响应*帐户](https://docs.aws.amazon.com/security-ir/latest/userguide/security-ir-organizations.html)”。 **最小权限** 只有 Organizations 管理账户中的用户或角色才能将成员账户配置为组织中安全事件响应的委派管理员 要了解如何通过安全事件响应控制台配置委派管理员,请参阅《安全事件响应用户指南》**中的[指定安全事件响应委派管理员账户](https://docs.aws.amazon.com/security-ir/latest/userguide/delegated-admin-designate.html)。 ------ #### [ AWS CLI, AWS API ] 如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs,则可以使用以下命令: + AWS CLI: ``` $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal security-ir.amazonaws.com ``` + AWS SDK:调用 Organizations `RegisterDelegatedAdministrator` 操作和成员账户的 ID 号,并将账户服务标识`security-ir.amazonaws.com`为参数。 ------ ## 禁用安全事件响应的委派管理员 **重要** 如果成员资格是通过委派管理员账户创建,则取消注册委派管理员是一种破坏性操作,并且会导致服务中断。要重新注册委派管理员,请执行以下操作: 在 https://console.aws.amazon.com/security-ir/ home\$1/memberships/settings 登录安全事件响应控制台 从服务控制台取消成员资格。成员资格在计费周期结束之前一直有效。 取消成员资格后,通过 Organizations 控制台、CLI 或 SDK 禁用服务访问权限。 只有 Organizations 管理账户中的管理员才能移除安全事件响应的委派管理员。您可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作来移除委托管理员。 # Amazon 安全湖和 AWS Organizations Amazon Security Lake Amazon Security Lake 将来自云端、本地和自定义源的安全数据集中到存储在您的账户的数据湖中。通过与 Organizations 集成,您可以创建一个数据湖来收集账户中的日志和事件。有关更多信息,请参阅《*Amazon Security Lake 用户指南*》中的[使用 AWS Organizations管理多个账户](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html)。 使用以下信息来帮助您将 Amazon Security Lake 与集成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 当您调用 [RegisterDataLakeDelegatedAdministrator](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_RegisterDataLakeDelegatedAdministrator.html)API 时,将在您组织的管理账户中自动创建以下[服务相关角色](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#backup-delegatedadmin)。此角色允许 Amazon Security Lake 在您组织中的组织账户内执行支持的操作。 只有在 Amazon Security Lake 与 Organizations 之间禁用可信访问,或者您从组织中移除该成员账户后,才能删除或修改此角色。 + `AWSServiceRoleForSecurityLake` **建议:使用 Security Lake 的 RegisterDataLakeDelegatedAdministrator API 允许 Security Lake 访问您的组织并注册组织的委托管理员** 如果您使用 Organi APIs zations 注册委托管理员,则可能无法成功创建组织的服务相关角色。为确保全部功能,请使用安全湖 APIs。 ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Amazon Security Lake 使用的服务相关角色将为以下服务主体授予访问权限: + `securitylake.amazonaws.com` ## 启用与 Amazon Security Lake 的可信访问 启用信任访问权限 当您授予对安全数据湖的信任访问权限时,安全数据湖可以自动应对组织成员资格的更改。委派的管理员可以在任何组织账户中启用从支持的服务收集 AWS 日志。有关更多信息,请参阅《*Amazon Security Lake 用户指南*》中的[亚马逊安全数据湖的服务相关角色](https://docs.aws.amazon.com/security-lake/latest/userguide/service-linked-roles.html)。 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您只能使用 Organizations 工具启用可信访问权限。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **Amazon Security Lake**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用 Amazon Security Lake 的可信访问权限**对话框中,输入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告诉 Amazon Security Lake 的管理员,他们现在可以 AWS Organizations 从服务控制台启用该服务。 ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令,允许将 Amazon Security Lake 作为 Organizations 的可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal securitylake.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 禁用与 Amazon Security Lake 的可信访问 禁用信任访问权限 只有 Organizations 管理账户中的管理员可以禁用与 Amazon Security Lake 的可信访问。 您只能使用 Organizations 工具禁用可信访问权限。 您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **使用 Organizations 控制台禁用信任服务访问权限** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **Amazon Security Lake**。 1. 选择 **Disable trusted access(禁用信任访问权限)**。 1. 在**禁用 Amazon Security Lake 的可信访问权限**对话框中,输入**禁用**进行确认,然后选择**禁用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告诉 Amazon Security Lake 的管理员,他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令,禁止将 Amazon Security Lake 作为 Organizations 的可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal securitylake.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为 Amazon Security Lake 启用委派管理员账户 Amazon Security Lake 委派管理员可将组织中的其他账户添加为成员账户。委派管理员可为成员账户启用 Amazon Security Lake 并配置 Amazon Security Lake 设置。委派的管理员可以在启用了 Amazon Security Lake 的所有 AWS 区域(无论您当前使用的是哪个区域终端节点)收集整个组织的日志。 您还可以将委托管理员设置为自动将组织中的新帐户添加为成员。Amazon Security Lake 委派管理员有权访问关联成员账户中的日志和事件。因此,您可以设置 Amazon Security Lake 来收集关联成员账户拥有的数据。您还可以授予订阅用户使用关联成员账户所拥有数据的权限。 有关更多信息,请参阅《*Amazon Security Lake 用户指南*》中的[使用 AWS Organizations管理多个账户](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html)。 **最小权限** 只有 Organizations 管理账户中的管理员才能将某个成员账户配置为组织中的 Amazon Security Lake 委派管理员。 您可以使用 Amazon Security Lake 控制台、Amazon Security Lake `CreateDatalakeDelegatedAdmin` API 操作或者 `create-datalake-delegated-admin` CLI 命令来指定委派管理员账户。或者,您也可以使用 Organizations `RegisterDelegatedAdministrator` CLI 或 SDK 操作。有关为 Amazon Security Lake 启用委派管理员账户的说明,请参阅《Amazon Security Lake 用户指南》中的 [Designating the delegated Security Lake administrator and adding member accounts](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#designated-admin)**。 ------ #### [ AWS CLI, AWS API ] 如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs,则可以使用以下命令: + AWS CLI: ``` $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal securitylake.amazonaws.com ``` + AWS SDK:调用 Organizations `RegisterDelegatedAdministrator` 操作和成员账户的 ID 号,并将账户服务委托人标识`account.amazonaws.com`为参数。 ------ ## 为 Amazon Security Lake 禁用委派管理员 只有 Organizations 管理账户或 Amazon Security Lake 委派管理员账户中的管理员才能从组织中移除委派管理员账户。 您可以使用 Amazon Security Lake `DeregisterDataLakeDelegatedAdministrator` API 操作、`deregister-data-lake-delegated-administrator` CLI 命令或者使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作移除委派管理员账户。要使用 Amazon Security Lake 移除委派管理员,请参阅《Amazon Security Lake 用户指南》中的 [Removing the Amazon Security Lake delegated administrator](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#remove-delegated-admin)**。 # AWS Service Catalog 和 AWS Organizations AWS Service Catalog 借助 Service Catalog,您可以创建和管理获准在 AWS上使用的 IT 服务的目录。 Service Catalog 与 Service Catalog 的集成 AWS Organizations 简化了整个组织内的产品组合共享和产品复制。Service Catalog 管理员可以在共享产品组合 AWS Organizations 时引用现有组织,也可以与组织树结构中的任何可信组织单位 (OU) 共享该产品组合。这样就无需共享投资组合 IDs,也无需收款账户在导入投资组合时手动引用投资组合 ID。在 Service Catalog 中,通过此机制共享的产品组合将管理员的 **Imported Portfolio**(导入的产品组合)视图的共享目标账户中列出。 有关 Service Catalog 的更多信息,请参阅 [服务目录管理员指南](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html)**。 使用以下信息来帮助您集 AWS Service Catalog 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 AWS Service Catalog 不会创建任何与服务相关的角色作为启用可信访问的一部分。 ## 用于授予权限的服务委托人 服务委托人 要启用信任访问权限,您必须指定以下服务委托人: + `servicecatalog.amazonaws.com` ## 使用 Service Catalog 启用可信访问 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 AWS Service Catalog 控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用 AWS Service Catalog 控制台或工具来启用与 Organizations 的集成。这允许 AWS Service Catalog 执行它需要的任何配置,例如创建服务所需的资源。请仅在您无法使用 AWS Service Catalog提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 AWS Service Catalog 控制台或工具启用可信访问,则无需完成这些步骤。 **使用 Service Catalog CLI 或 AWS SDK 启用可信访问** 调用下列命令或操作之一: + AWS CLI: a [ws 服务目录 enable-aws-organizations-access](https://docs.aws.amazon.com/cli/latest/reference/servicecatalog/enable-aws-organizations-access.html) + AWS SDKs: [AWSService目录:: 启用访问权限 AWSOrganizations](https://docs.aws.amazon.com/servicecatalog/latest/dg/API_EnableAWSOrganizationsAccess.html) 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Service Catalog**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用 AWS Service Catalog的可信访问权限**对话框中,键入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。 AWS Service Catalog ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS Service Catalog zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal servicecatalog.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用 Service Catalog 禁用可信访问 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 如果您 AWS Organizations 在使用 Service Catalog 时使用禁用可信访问,它不会删除您当前的共享,但会阻止您在整个组织中创建新的共享。如果在您调用此操作后当前共享发生更改,则它将不会与您的组织结构同步。 **使用 Service Catalog CLI 或 AWS SDK 禁用可信访问** 调用下列命令或操作之一: + AWS CLI: a [ws 服务目录 disable-aws-organizations-access](https://docs.aws.amazon.com/cli/latest/reference/servicecatalog/disable-aws-organizations-access.html) + AWS SDKs: [禁用AWSOrganizations访问权限](https://docs.aws.amazon.com/servicecatalog/latest/dg/API_DisableAWSOrganizationsAccess.html) 您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **使用 Organizations 控制台禁用信任服务访问权限** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Service Catalog**。 1. 选择 **Disable trusted access(禁用信任访问权限)**。 1. 在**禁用 AWS Service Catalog的可信访问权限**对话框中,键入**禁用**进行确认,然后选择**禁用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。 AWS Service Catalog ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS Service Catalog ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal servicecatalog.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ # Service Quotas 和 AWS Organizations 服务配额 Service Quotas 是一项 AWS 服务,可让您从中央位置查看和管理您的配额。配额(也称为限制)是 AWS 账户中资源、操作和项目的最大值。 与 Service Quotas 关联后 AWS Organizations,您可以创建配额请求模板,以便在创建账户时自动请求增加配额。 有关 Service Quotas 的更多信息,请参阅 [Service Quotas 用户指南](https://docs.aws.amazon.com/servicequotas/latest/userguide/)。 使用以下信息来帮助您将 Service Quotas 与集成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Service Quotas 在您组织中的组织账户内执行支持的操作。 只有在禁用 Service Quotas 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。 + `AWSServiceRoleForServiceQuotas` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Service Quotas 使用的服务相关角色为以下服务委托人授予访问权限: + `servicequotas.amazonaws.com` ## 启用其他 Service Quotas 服务的信任访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您只能使用服务配额启用可信访问权限。 你可以使用 Service Quotas 控制台 AWS CLI 或 SDK 启用可信访问: + **使用 Service Quotas 控制台启用信任访问权限** 使用您的 AWS Organizations 管理账户登录,然后在 Service Quotas 控制台上配置模板。有关更多信息,请参阅《Service Quotas 用户指南》**中的[使用 Service Quotas 模板](https://docs.aws.amazon.com/servicequotas/latest/userguide/organization-templates.html)。 + **使用 Service Quotas AWS CLI 或 SDK 启用可信访问** 调用以下命令或操作: + AWS CLI: aw [s 服务配额 associate-service-quota-template](https://docs.aws.amazon.com/cli/latest/reference/service-quotas/API_AssociateServiceQuotaTemplate.html) + AWS SDKs: [AssociateServiceQuotaTemplate](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_AssociateServiceQuotaTemplate.html) # AWS IAM Identity Center 和 AWS Organizations AWS IAM Identity Center AWS IAM Identity Center 为您的所有应用程序 AWS 账户 和云应用程序提供单点登录访问权限。它通过 AWS Directory Service 与 Microsoft Active Directory 连接,允许该目录中的用户使用其现有的 Active Directory 用户名和密码登录个性化 AWS 访问门户。通过 AWS 访问门户,用户可以访问他们有权访问的所有 AWS 账户 和云应用程序。 有关 IAM Identity Center 的更多信息,请参阅《[AWS IAM Identity Center 用户指南](https://docs.aws.amazon.com/singlesignon/latest/userguide/)》。 使用以下信息来帮助您集 AWS IAM Identity Center 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 IAM Identity Center 在您组织中的组织账户内执行支持的操作。 只有当在 IAM Identity Center 和 Organizations 之间禁用可信访问,或者从组织中删除成员账户时,您才能删除角色。 + `AWSServiceRoleForSSO` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。IAM Identity Center 使用的服务相关角色为以下服务主体授予访问权限: + `sso.amazonaws.com` ## 对 IAM Identity Center 启用可信访问 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 AWS IAM Identity Center 控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用 AWS IAM Identity Center 控制台或工具来启用与 Organizations 的集成。这允许 AWS IAM Identity Center 执行它需要的任何配置,例如创建服务所需的资源。请仅在您无法使用 AWS IAM Identity Center提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 AWS IAM Identity Center 控制台或工具启用可信访问,则无需完成这些步骤。 IAM 身份中心需要可信访问权限 AWS Organizations 才能正常运行。在设置 IAM Identity Center 时启用可信访问。有关更多信息,请参阅《AWS IAM Identity Center 用户指南》**中的[入门 – 步骤 1:启用 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html)。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS IAM Identity Center**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用 AWS IAM Identity Center的可信访问权限**对话框中,键入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。 AWS IAM Identity Center ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS IAM Identity Center zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal sso.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 对 IAM Identity Center 禁用可信访问 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 IAM 身份中心需要可信访问权限 AWS Organizations 才能运行。如果您 AWS Organizations 在使用 IAM Identity Center 时使用禁用可信访问权限,则它会因为无法访问组织而停止运行。用户无法使用 IAM Identity Center 访问账户。IAM Identity Center 创建的所有角色均将保留,但 IAM Identity Center 服务无法访问这些角色。IAM Identity Center 服务相关角色将保留。如果您重新允许可信访问,则 IAM Identity Center 将继续像以前一样运行,而无需您重新配置该服务。 如果您删除组织中的某个账户,则 IAM Identity Center 将自动清除任何元数据和资源(例如,所删除账户的服务相关角色)。从组织中删除的独立账户将无法再与 IAM Identity Center 配合使用。 您只能使用 Organizations 工具禁用可信访问权限。 您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **使用 Organizations 控制台禁用信任服务访问权限** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS IAM Identity Center**。 1. 选择 **Disable trusted access(禁用信任访问权限)**。 1. 在**禁用 AWS IAM Identity Center的可信访问权限**对话框中,键入**禁用**进行确认,然后选择**禁用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。 AWS IAM Identity Center ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS IAM Identity Center ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal sso.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为 IAM Identity Center 启用委托管理员账户 启用委托管理员账户 将成员账户指定为组织的委托管理员后,该账户中的用户和角色将能够对 IAM Identity Center 执行本来只能由组织管理账户中的用户或角色执行的管理操作。这有利于将组织的管理与 IAM Identity Center 的管理分开。 **最小权限** 只有 Organizations 管理账户中的用户或角色能够将某个成员账户配置为组织的 IAM Identity Center 委托管理员。 有关如何为 IAM Identity Center 启用委托管理员账户的说明,请参阅《*AWS IAM Identity Center 用户指南*》中的[委托管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html)。 # AWS Systems Manager 和 AWS Organizations AWS Systems Manager AWS Systems Manager 是一系列可实现 AWS 资源可见性和控制的功能。以下 Systems Manager 功能可跨您组织中的所有 AWS 账户 与 Organizations 配合工作: + Systems Manager Explorer 是一个可自定义的操作控制面板,用于报告有关您的 AWS 资源的信息。您可以使用 Organizations and Systems Manager Explorer 同步组织 AWS 账户 中所有人的操作数据。有关更多信息,请参阅《AWS Systems Manager 用户指南》**中的 [Systems Manager Explorer](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer.html)。 + Systems Manager Change Manager 是一个企业变更管理框架,用于请求、批准、实施和报告应用程序配置和基础架构的操作变更。有关更多信息,请参阅《AWS Systems Manager 用户指南》**中的 [AWS Systems Manager Change Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager.html)。 + Systems Manager OpsCenter 提供了一个中心位置,运营工程师和 IT 专业人员可以在其中查看、调查和解决与 AWS 资源相关的运营工作项目 (OpsItems)。当您 OpsCenter 与 Organizations 一起使用时,它支持在单个会话 OpsItems 中使用管理帐户(组织管理帐户或 Systems Manager 委托的管理员帐户)和另一个帐户。配置后,用户可以执行以下类型的操作: + OpsItems 在另一个账户中创建、查看和更新。 + 查看有关在其他账户 OpsItems 中指定的 AWS 资源的详细信息。 + 启动 Systems Manager Automation 运行手册以修复其他 AWS 账户中的资源问题。 有关更多信息,请参阅《AWS Systems Manager 用户指南》**中的 [AWS Systems Manager OpsCenter](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)。 + 使用快速设置可根据推荐的最佳做法快速配置常用 AWS 服务和功能。有关更多信息,请参阅《AWS Systems Manager 用户指南》**中的 [AWS Systems Manager Quick Setup](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-quick-setup.html)。 在 Systems Manager 注册 AWS Organizations 委托管理员帐户时,您可以创建、更新、查看和删除针对组织中组织单位的快速设置配置管理器。要了解更多信息,请参阅《AWS Systems Manager 用户指南》**中的[使用快速设置功能的委派管理员](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-delegated-administrator.html)。 + 在设置 Systems Manager 集成控制台时,需要输入委派管理员账户。此帐户用于在 “快速设置”、“资源管理器” 和 “资源管理器” 中注册 AWS Organizations 委派的管理员帐户。 CloudFormation StackSets要了解更多信息,请参阅《AWS Systems Manager 用户指南》**中的[设置组织的 Systems Manager 集成控制台](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-organizations.html)。 使用以下信息来帮助您集 AWS Systems Manager 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Systems Manager 在您组织中的组织账户内执行支持的操作。 只有在禁用 Systems Manager 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。 + `AWSServiceRoleForAmazonSSM_AccountDiscovery` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Systems Manager 使用的服务相关角色为以下服务委托人授予访问权限: + `ssm.amazonaws.com` ## 使用 Systems Manager 启用信任访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您只能使用 Organizations 工具启用可信访问权限。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Systems Manager**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用 AWS Systems Manager的可信访问权限**对话框中,键入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。 AWS Systems Manager ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS Systems Manager zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal ssm.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用 Systems Manager 禁用信任访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 Systems Manager 需要可信访问权限才能同步组织 AWS 账户 中的运营数据。 AWS Organizations 如果您禁用信任访问,则 Systems Manager 无法同步操作数据和报告错误。 您只能使用 Organizations 工具禁用可信访问权限。 您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **使用 Organizations 控制台禁用信任服务访问权限** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Systems Manager**。 1. 选择 **Disable trusted access(禁用信任访问权限)**。 1. 在**禁用 AWS Systems Manager的可信访问权限**对话框中,键入**禁用**进行确认,然后选择**禁用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。 AWS Systems Manager ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS Systems Manager ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal ssm.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为 Systems Manager 启用委托管理员账户 启用委托管理员账户 将成员账户指定为组织的委托管理员时,该账户中的用户和角色可以对 Systems Manager 执行管理操作,否则只能由组织管理账户中的用户或角色执行操作。这可以帮助您将组织的管理与 Systems Manager 的管理分开。 如果跨组织使用 Change Manager,则使用委托管理员账户。该帐户已被指定为在 AWS 账户 变更管理器中管理变更模板、变更请求、变更运行手册和批准工作流的帐户。委托账户管理整个组织的变更活动。当您设置您的组织以便使用 Change Manager 时,您要指定您的哪个账户在此角色中使用服务。它不必是组织的管理账户。如果您只对单个账户使用 Change Manager,则不需要委托管理员账户。 **要将成员帐户指定为委托管理员,请参阅《*AWS Systems Manager 用户指南*》中的以下主题:** + 对于 Explorer 和 OpsCenter,请参阅[配置委派管理员](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer-setup-delegated-administrator.html)。 + 有关 Change Manager 的信息,请参阅[为 Change Manager 设置组织和委托账户](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-organization-setup.html)。 + 有关快速设置功能的信息,请参阅[注册快速设置功能的委派管理员](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-register-delegated-administrator.html)。 ## 禁用 Systems Manager 委派管理员账户 禁用委派管理员账户 **要取消注册委派管理员,请参阅《AWS Systems Manager 用户指南》**中的以下主题:** + 对于 Explorer 和 OpsCenter,请参阅[注销 Explorer 授权的管理员](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer-setup-delegated-administrator-deregister.html)。 + 有关 Change Manager 的信息,请参阅[为 Change Manager 设置组织和委托账户](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-organization-setup.html)。 + 有关快速设置功能的信息,请参阅[取消注册快速设置功能的委派管理员](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-deregister-delegated-administrator.html)。 # AWS 用户通知服务 和 AWS Organizations AWS 用户通知服务 [AWS 用户通知服务](https://aws.amazon.com/notifications)是您 AWS 接收通知的中心位置。 与集成后 AWS Organizations,您可以集中配置和查看组织中各个账户的通知。 使用以下信息来帮助您集 AWS 用户通知服务 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色 用户通知服务 允许在组织中的组织账户中执行支持的操作。 只有在禁用 用户通知服务 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。 + `AWSServiceRoleForAWSUserNotifications` 有关更多信息,请参阅《AWS 用户通知服务 User Guide》**中的 [Using Service-Linked Roles](https://docs.aws.amazon.com/notifications/latest/userguide/using-service-linked-roles.html)。 ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。使用的服务相关角色向以下服务主体 用户通知服务 授予访问权限: + `notifications.amazon.com` ## 使用启用可信访问 用户通知服务 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您只能使用 AWS 用户通知服务启用可信访问权限。 要使用 用户通知服务 控制台启用可信访问,请参阅《*用户通知服务 用户指南》 AWS Organizations AWS 用户通知服务*[中的 “启](https://docs.aws.amazon.com/notifications/latest/userguide/uno-orgs.html)用”。 ## 使用禁用可信访问 用户通知服务 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 您只能使用 AWS 用户通知服务启用可信访问权限。 要使用 用户通知服务 控制台禁用可信访问,请参阅《*用户通知服务 用户指南》 AWS Organizations AWS 用户通知服务*[中的 “启用](https://docs.aws.amazon.com/notifications/latest/userguide/uno-orgs.html)”。 ## 为其启用委派管理员账户 用户通知服务 启用委托管理员账户 管理账户管理员可以将 用户通知服务 管理权限委托给名为委派管理员的指定成员账户。**要将账户注册为私有市场的委托管理员,管理账户管理员必须确保启用可信访问权限和服务相关角色,选择**注册新管理员**,提供 12 位 AWS 账号,然后选择提交。** 管理账户和授权管理员帐户可以执行 用户通知服务 管理任务,例如创建体验、更新品牌设置、关联或取消受众关联、添加或删除产品以及批准或拒绝待处理的请求。 要使用 用户通知服务 控制台配置委派管理员,请参阅*用户通知服务 用户指南 AWS 用户通知服务*[中的注册委托管理员](https://docs.aws.amazon.com/notifications/latest/userguide/uno-orgs.html#register-admins)。 您还可以使用 Organizations `RegisterDelegatedAdministrator` API 配置委派管理员。有关更多信息,请参阅 Organizati *ons 命令参考[ RegisterDelegatedAdministrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)*中的。 ## 禁用委派的管理员 用户通知服务 只有组织管理账户中的管理员才能配置 用户通知服务委派管理员。 您可以使用 用户通知服务 控制台或 API,也可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作来移除委派的管理员。 要使用 用户通知服务 控制台禁用委派管理员 用户通知服务 帐户,请参阅《*用户通知服务 用户指南》 AWS 用户通知服务*[中的 “移除委托管理员](https://docs.aws.amazon.com/notifications/latest/userguide/uno-orgs.html#deregister-admins)”。 # 标记策略和 AWS Organizations 标签策略 *标签策略*是一种策略 AWS Organizations ,可以帮助您标准化组织账户中各个资源的标签。有关标签策略的更多信息,请参阅[标签策略](orgs_manage_policies_tag-policies.md)。 使用以下信息来帮助您将标签策略与集成 AWS Organizations。 ## 服务相关角色使用的服务委托人 服务委托人 Organizations 使用以下服务委托人与附加到资源的标签进行交互。 + `tagpolicies.tag.amazonaws.com` ## 为标签策略启用信任访问权限 启用信任访问权限 您可以通过在组织中启用标签策略或使用 AWS Organizations 控制台来启用可信访问。 **重要** 强烈建议您通过启用标签策略来启用信任访问权限。这使 Organizations 能够执行必需的设置任务。 您可以为标签策略启用信任访问权限,方法是在 AWS Organizations 控制台中启用标签策略类型。有关更多信息,请参阅 [启用策略类型](enable-policy-type.md)。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择**标签策略**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用标签策略的可信访问权限**对话框中,输入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告诉标签策略的管理员,他们现在可以 AWS Organizations 从服务控制台启用该服务。 ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令,允许将标签策略作为 Organizations 的可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal tagpolicies.tag.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用标记策略禁用信任访问权限 禁用信任访问权限 您可以通过在 AWS Organizations 控制台中禁用标签策略类型来禁用标签策略的可信访问。有关更多信息,请参阅 [禁用策略类型](disable-policy-type.md)。 # AWS Trusted Advisor 和 AWS Organizations AWS Trusted Advisor AWS Trusted Advisor 检查您的 AWS 环境,并在有机会节省资金、提高系统可用性和性能或帮助填补安全漏洞时提出建议。与 Organizations 集成后,您可以接收组织中所有账户的 Trusted Advisor 检查结果,并下载报告以查看支票摘要和任何受影响的资源。 有关更多信息,请参阅《AWS 支持 用户指南》**中的 [AWS Trusted Advisor的组织视图](https://docs.aws.amazon.com/awssupport/latest/user/organizational-view.html)。 使用以下信息来帮助您集 AWS Trusted Advisor 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色 Trusted Advisor 允许在组织中的组织账户中执行支持的操作。 只有在禁用 Trusted Advisor 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。 + `AWSServiceRoleForTrustedAdvisorReporting` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。使用的服务相关角色向以下服务主体 Trusted Advisor 授予访问权限: + `reporting.trustedadvisor.amazonaws.com` ## 使用启用可信访问 Trusted Advisor 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您只能使用 AWS Trusted Advisor启用可信访问权限。 **使用 Trusted Advisor 控制台启用可信访问** 请参阅《AWS 支持 用户指南》**中的[启用组织视图](https://docs.aws.amazon.com/awssupport/latest/user/organizational-view.html#enable-organizational-view)。 ## 使用禁用可信访问 Trusted Advisor 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 禁用此功能后,将 Trusted Advisor 停止记录组织中所有其他账户的支票信息。您无法查看或下载现有报告或创建新报告。 您可以使用 AWS Trusted Advisor 或 AWS Organizations 工具禁用可信访问。 **重要** 我们强烈建议您尽可能使用 AWS Trusted Advisor 控制台或工具来禁用与 Organizations 的集成。这允许 AWS Trusted Advisor 执行它需要的任何清理,例如删除服务不再需要的资源或访问角色。仅当您无法使用 AWS Trusted Advisor提供的工具禁用集成时,才会使用这些步骤进行处理。 如果您使用 AWS Trusted Advisor 控制台或工具禁用可信访问,则无需完成这些步骤。 **使用 Trusted Advisor 控制台禁用可信访问** 请参阅《AWS 支持 用户指南》**中的[禁用组织视图](https://docs.aws.amazon.com/awssupport/latest/user/organizational-view.html#disable-organizational-view)。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS Trusted Advisor ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal reporting.trustedadvisor.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为其启用委派管理员账户 Trusted Advisor 当您将某个成员账户指定为组织的委托管理员时,来自指定账户的用户和角色将可以管理组织内其他成员账户的 AWS 账户 元数据。如果您没有启用委托管理员账户,则这些任务只能由组织的管理账户执行。这有利于您将组织的管理与您的账户详细信息的管理分开。 **最小权限** 只有 Organizations 管理账户中的用户或角色才能将成员账户配置为组织 Trusted Advisor 中的委托管理员 有关为其启用委派管理员账户的说明 Trusted Advisor,请参阅*《支持 用户指南*》中的[注册委派管理员](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-priority.html#register-delegated-administrators)。 ------ #### [ AWS CLI, AWS API ] 如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs,则可以使用以下命令: + AWS CLI: ``` $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal reporting.trustedadvisor.amazonaws.com ``` + AWS SDK:调用 Organizations `RegisterDelegatedAdministrator` 操作和成员账户的 ID 号,并将账户服务委托人标识`account.amazonaws.com`为参数。 ------ ## 禁用委派的管理员 Trusted Advisor 您可以使用 Trusted Advisor 控制台,也可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作来移除委派的管理员。有关如何使用 Trusted Advisor 控制台禁用委派管理员 Trusted Advisor 帐户的信息,请参阅*支持 用户指南*中的[取消注册委派管理员](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-priority.html#deregister-delegated-administrators)。 # AWS Well-Architected Tool 和 AWS Organizations AWS Well-Architected Tool AWS Well-Architected Tool 可帮助您记录工作负载的状态,并将其与最新的 AWS 架构最佳实践进行比较。 AWS Well-Architected Tool 与 Organizations 一起使用可以让 AWS Well-Architected Tool 和组织客户简化与组织中其他成员共享 AWS Well-Architected Tool 资源的过程。 有关更多信息,请参阅《AWS Well-Architected Tool 用户指南》**中的[共享您的 AWS Well-Architected Tool 资源](https://docs.aws.amazon.com/wellarchitected/latest/userguide/sharing.html)。 使用以下信息来帮助您集 AWS Well-Architected Tool 成 AWS Organizations。 ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色 AWS WA Tool 允许在组织中的组织账户中执行支持的操作。 只有在禁用 AWS WA Tool 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。 + `AWSServiceRoleForWellArchitected` 服务角色策略是 `AWSWellArchitectedOrganizationsServiceRolePolicy` ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。使用的服务相关角色向以下服务主体 AWS WA Tool 授予访问权限: + `wellarchitected.amazonaws.com` ## 使用启用可信访问 AWS WA Tool 启用信任访问权限 允许更新 AWS WA Tool 以反映组织中的层次结构变化。 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 您可以使用 AWS Well-Architected Tool 控制台或控制台启用可信访问。 AWS Organizations **重要** 我们强烈建议您尽可能使用 AWS Well-Architected Tool 控制台或工具来启用与 Organizations 的集成。这允许 AWS Well-Architected Tool 执行它需要的任何配置,例如创建服务所需的资源。请仅在您无法使用 AWS Well-Architected Tool提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。 如果您使用 AWS Well-Architected Tool 控制台或工具启用可信访问,则无需完成这些步骤。 **使用 AWS WA Tool 控制台启用可信访问** 请参阅*AWS Well-Architected Tool 用户指南*[中的共享 AWS Well-Architected Tool 资源](https://docs.aws.amazon.com/wellarchitected/latest/userguide/sharing.html)。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在导航窗格中,选择**服务**。 1. 在服务列表中选择 **AWS Well-Architected Tool**。 1. 选择 **Enable trusted access (启用可信访问)**。 1. 在**启用 AWS Well-Architected Tool的可信访问权限**对话框中,键入**启用**进行确认,然后选择**启用可信访问权限**。 1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。 AWS Well-Architected Tool ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作启用可信服务访问: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 运行以下命令以在 Organi AWS Well-Architected Tool zations 中启用可信服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal wellarchitected.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 使用禁用可信访问 AWS WA Tool 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 您可以使用 AWS Well-Architected Tool 或 AWS Organizations 工具禁用可信访问。 **重要** 我们强烈建议您尽可能使用 AWS Well-Architected Tool 控制台或工具来禁用与 Organizations 的集成。这允许 AWS Well-Architected Tool 执行它需要的任何清理,例如删除服务不再需要的资源或访问角色。仅当您无法使用 AWS Well-Architected Tool提供的工具禁用集成时,才会使用这些步骤进行处理。 如果您使用 AWS Well-Architected Tool 控制台或工具禁用可信访问,则无需完成这些步骤。 **使用 AWS WA Tool 控制台禁用可信访问** 请参阅*AWS Well-Architected Tool 用户指南*[中的共享 AWS Well-Architected Tool 资源](https://docs.aws.amazon.com/wellarchitected/latest/userguide/sharing.html)。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令在 Organiz AWS Well-Architected Tool ations 中禁用可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal wellarchitected.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ # 亚马逊 VPC IP 地址管理器 (IPAM) 和 AWS Organizations Amazon VPC IP 地址管理器(IPAM) Amazon VPC IP 地址管理器 (IPAM) 是一项 VPC 功能,可让您更轻松地规划、跟踪和监控工作负载的 IP 地址。 AWS 使用 AWS Organizations 允许您监控整个组织的 IP 地址使用情况,并在成员账户之间共享 IP 地址池。 有关更多信息,请参阅*《Amazon VPC IPAM 用户指南》*中的[将 IPAM 与 AWS Organizations集成](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam.html)。 使用以下信息来帮助您将 Amazon VPC IP 地址管理器 (IPAM) 与集成。 AWS Organizations ## 启用集成时,创建了一个服务相关角色 服务关联角色 当您通过 IPAM 控制台或者 IPAM 的 `EnableIpamOrganizationAdminAccount` API 将 IPAM 与 AWS Organizations 集成时,系统会在组织的管理账户和每个成员账户中自动创建以下服务相关角色。 + `AWSServiceRoleForIPAM` 有关更多信息,请参阅*《Amazon VPC IPAM 用户指南》*中的 [IPAM 的服务相关角色](https://docs.aws.amazon.com//vpc/latest/ipam/iam-ipam-slr.html)。 ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。IPAM 使用的服务相关角色将为以下服务主体授予访问权限: + `ipam.amazonaws.com` ## 启用 IPAM 可信访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 **注意** 当您为 IPAM 指定委托管理员时,它会自动为您的组织启用 IPAM 可信访问权限。 IPAM 需要获得可信访问权限, AWS Organizations 然后才能将成员账户指定为组织中该服务的委托管理员。 您只能使用 Amazon VPC IP 地址管理器(IPAM)工具启用可信访问权限。 如果您 AWS Organizations 使用 IPAM 控制台或 IPAM `EnableIpamOrganizationAdminAccount` API 将 IPAM 与集成,则会自动向 IPAM 授予可信访问权限。授予可信访问权限将会在组织的管理账户和所有成员账户中创建服务相关角色 ` AWS ServiceRoleForIPAM`。IPAM 使用服务相关角色监控组织中与 EC2 网络资源关联的 CIDR,并在亚马逊中存储与 IPAM 相关的指标。 CloudWatch有关更多信息,请参阅*《Amazon VPC IPAM 用户指南》*中的 [IPAM 的服务相关角色](https://docs.aws.amazon.com//vpc/latest/ipam/iam-ipam-slr.html)。 有关启用可信访问权限的说明,请参阅*《Amazon VPC IPAM 用户指南》*中的[将 IPAM 与 AWS Organizations集成](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。 **注意** 您无法使用 AWS Organizations 控制台或 API 通过 IPAM 启用可信访问。[https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ## 禁用 IPAM 可信访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 只有 AWS Organizations 管理账户中的管理员才能使用 API 禁用 IPAM 的可信访问。 AWS Organizations `disable-aws-service-access` 有关禁用 IPAM 账户权限和删除服务相关角色的信息,请参阅*《Amazon VPC IPAM 用户指南》*中的 [IPAM 的服务相关角色](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam-slr.html)。 您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。 ------ #### [ AWS CLI, AWS API ] **使用 Organizations CLI/SDK 禁用信任服务访问权限** 使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限: + AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 运行以下命令,禁止将 Amazon VPC IP 地址管理器(IPAM)作为 Organizations 的可信服务。 ``` $ aws organizations disable-aws-service-access \ --service-principal ipam.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) ------ ## 为 IPAM 启用委托管理员账户 IPAM 的委托管理员账户负责创建 IPAM 和 IP 地址池、管理和监控组织中的 IP 地址使用情况,以及跨成员账户共享 IP 地址池。有关更多信息,请参阅*《Amazon VPC IPAM 用户指南》*中的[将 IPAM 与 AWS Organizations集成](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。 只有组织管理账户中的管理员才能为 IPAM 配置委托管理员。 您可以通过 IPAM 控制台或使用 `enable-ipam-organization-admin-account` API 指定委托管理员账户。有关更多信息,请参阅《* AWS AWS CLI 命令enable-ipam-organization-admin参考*[》中的-](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-organization-admin-account.html) account。 **最小权限** 只有 Organizations 管理账户中的用户或角色能够将某个成员账户配置为组织的 IPAM 委托管理员。 要使用 IPAM 控制台配置委托管理员,请参阅*《Amazon VPC IPAM 用户指南》*中的[将 IPAM 与 AWS Organizations集成](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。 ## 为 IPAM 禁用委托管理员 只有组织管理账户中的管理员才能为 IPAM 配置委托管理员。 要使用删除委派管理员 AWS AWS CLI,请参阅《*AWS AWS CLI 命令参考*》中的 [disable-ipam-organization-admin-](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ipam-organization-admin-account.html) account。 要使用 IPAM 控制台禁用 IPAM 委托管理员账户,请参阅*《Amazon VPC IPAM 用户指南》*中的[将 IPAM 与 AWS Organizations集成](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。 # 亚马逊 VPC Reachability Analyzer 和 AWS Organizations Amazon VPC Reachability Analyzer Reachability Analyzer 是一种配置分析工具,使您能够在虚拟私有云中的源资源和目标资源之间执行连接测试()。VPCs AWS Organizations 与 Reachability Analyzer 配合使用可以跟踪组织中各个账户的路径。 有关更多信息,请参阅《Reachability Analyzer 用户指南》中的 [Manage delegated administrator accounts in Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/manage-delegated-administrators.html)**。 使用以下信息来帮助您将 Reachability Analyzer 与集成。 AWS Organizations ## 启用集成时,创建了一个服务相关角色 服务关联角色 以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Reachability Analyzer 在您组织中的组织账户内执行支持的操作。 只有在禁用 Reachability Analyzer 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。 + `AWSServiceRoleForReachabilityAnalyzer` 有关更多信息,请参阅 *Reachability Analyzer 用户指南*中的 [Cross-account analyses for Reachability Analyzer](https://docs.aws.amazon.com//vpc/latest/reachability/multi-account.html)(Reachability Analyzer 的跨账户分析)。 ## 服务相关角色使用的服务委托人 服务委托人 上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Reachability Analyzer 使用的服务相关角色为以下服务主体授予访问权限: + `reachabilityanalyzer.networkinsights.amazonaws.com` ## 启用 Reachability Analyzer 信任访问权限 启用信任访问权限 有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。 当您为 Reachability Analyzer 指定委托管理员时,它会自动为您的组织启用 Reachability Analyzer 信任访问权限。 Reachability Analyzer 需要获得可信访问权限, AWS Organizations 然后才能将成员账户指定为组织中该服务的委托管理员。 **重要** 您可以使用 Reachability Analyzer 控制台或 Organizations 控制台启用信任访问权限。但是,强烈建议您使用 Reachability Analyzer 控制台或 `EnableMultiAccountAnalysisForAwsOrganization` API 来实现与 Organizations 的集成。这可让 Reachability Analyzer 执行所需的任何配置,例如创建服务所需的资源。 授予可信访问权限将会在组织的管理账户和所有成员账户中创建服务相关角色 ` AWSServiceRoleForReachabilityAnalyzer`。Reachability Analyzer 使用服务相关角色来支持管理,并允许委托管理员在组织中的任何资源之间运行连接分析。Reachability Analyzer 能够拍摄组织中账户的网络元素的快照,以回答连接查询。 有关更多信息以及有关通过 Reachability Analyzer 启用信任访问权限的说明,请参阅 *Reacability Analyzer 用户指南*中的 [Cross-account analyses for Reachability Analyzer](https://docs.aws.amazon.com//vpc/latest/reachability/multi-account.html)(Reachability Analyzer 的跨账户分析)。 您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。 ------ #### [ AWS 管理控制台 ] **要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在**[服务](https://console.aws.amazon.com/organizations/v2/home/services)**页面上,找到 **VPC Reachability Analyzer** 行,选择服务的名称,然后选择**启用可信访问权限**。 1. 在确认对话框中,启用 **Show the option to enable trusted access (显示启用信任访问权限的选项)**,在框中输入 **enable**,然后选择 **Enable trusted access (启用信任访问权限)**。 1. 如果您仅是的管理员 AWS Organizations,请告诉 Reachability Analyzer 的管理员,他们现在可以使用其控制台启用该服务。 AWS Organizations ------ #### [ AWS CLI, AWS API ] **使用 OrganizationsCLI/SDK 启用信任服务访问权限** 您可以使用以下 AWS CLI 命令或 API 操作来启用可信服务访问: + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) 您可以运行以下命令以启用 Reachability Analyzer 作为 Organizations 的信任服务。 ``` $ aws organizations enable-aws-service-access \ --service-principal reachabilityanalyzer.networkinsights.amazonaws.com ``` 如果成功,此命令不会产生任何输出。 + AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ------ ## 禁用 Reachability Analyzer 信任访问权限 禁用信任访问权限 有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。 您可以使用 Reachability Analyzer 控制台(建议)或 Organizations 控制台禁用信任访问权限。要使用 Reachability Analyzer 控制台禁用信任访问权限,请参阅 *Reachability Analyzer 用户指南*中的 [Reachability Analyzer user guide](https://docs.aws.amazon.com//vpc/latest/reachability/multi-account.html)(Reachability Analyzer 的跨账户分析)。 ## 为 Reachability Analyzer 启用委托管理员账户 委托管理员账户能够对组织中的任何资源运行连接分析。有关更多信息,请参阅《Reachability Analyzer 用户指南》**中的 [将 Reachability Analyzer 与 AWS Organizations集成](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html))。 只有组织管理账户中的管理员才能为 Reachability Analyzer 配置委托管理员。 您可以通过 Reachability Analyzer 控制台或使用 `RegisterDelegatedAdministrator` API 指定委托管理员账户。有关更多信息,请参阅 Organizati *ons 命令参考[ RegisterDelegatedAdministrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)*中的。 **最小权限** 只有 Organizations 管理账户中的用户或角色才能将某个成员账户配置为组织的 Reachability Analyzer 委托管理员 要使用 Reachability Analyzer 控制台配置委托管理员,请参阅《Reachability Analyzer 用户指南》**中的[将 Reachability Analyzer 与 AWS Organizations集成](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。 ## 禁用 Reachability Analyzer 的委托管理员 只有组织管理账户中的管理员才能为 Reachability Analyzer 配置委托管理员。 您可以使用 Reachability Analyzer 控制台或 API,或者通过使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作,来删除委托管理员。 要使用 Reachability Analyzer 控制台禁用 Reachability Analyzer 委托管理员账户,请参阅 *Reachability Analyzer 用户指南*中的 [Cross-account analyses for Reachability Analyzer](https://docs.aws.amazon.com//vpc/latest/reachability/multi-account.html)(Reachability Analyzer 的跨账户分析)。