本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 檢視 的上次存取資訊 AWS Organizations
<a name="access_policies_last-accessed-view-data-orgs"></a>

您可以使用 IAM AWS Organizations 主控台 AWS CLI或 AWS API 檢視服務上次存取的資訊。如需關於資料、必要許可、疑難排解及支援區域的重要資訊，請參閱[AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。

當您使用 AWS Organizations 管理帳戶登入資料登入 IAM 主控台時，您可以檢視組織中任何實體的資訊。 AWS Organizations 實體包括組織根目錄、組織單位 OUs) 和帳戶。您也可以使用 IAM 主控台來檢視組織中任何服務控制政策 (SCP) 的資訊。IAM 會顯示套用至實體的 SCP 所允許的服務清單。對於每個服務，您可以檢視所選 AWS Organizations 實體或實體子系的最新帳戶活動資訊。

當您使用 AWS CLI 或 AWS API 搭配管理帳戶登入資料時，您可以為組織中的任何實體或政策產生報告。實體的程式設計報告包含套用至實體之任何 SCP 所允許的服務清單。對於每個服務，報告包含指定 AWS Organizations 實體或實體子目錄中的最新帳戶活動。

當您產生政策的程式設計報告時，您必須指定 AWS Organizations 實體。這份報告包含指定 SCP 所允許的服務清單。對於每個服務，其包含由政策授予許可之實體或實體子系的最新帳戶活動。如需詳細資訊，請參閱 [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html) 或 [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html)。

檢視報告之前，請確認您了解管理帳戶需求和資訊、報告期間、回報實體和評估的政策類型。如需詳細資訊，請參閱 [關於上次存取資訊的注意事項](access_policies_last-accessed.md#access_policies_last-accessed-know)。

## 了解 AWS Organizations 實體路徑
<a name="access_policies_last-accessed-viewing-orgs-entity-path"></a>

當您使用 AWS CLI 或 AWS API 產生 AWS Organizations 存取報告時，您必須指定實體路徑。路徑是 AWS Organizations 實體結構的文字表示。

您可以使用組織已知的結構來建立實體路徑。例如，假設您在其中具有下列組織結構 AWS Organizations。

![\[組織路徑結構\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/ou-path-diagram.png)


**開發人員管理員** OU 的路徑是使用組織 ID、根目錄和路徑中所有的 OU 包含 OU。

```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
```

**生產** OU 中帳戶的路徑是使用組織、根、OU 和帳戶號碼的 ID 建立的。

```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111/
```

**注意**  
組織 ID 是全域唯一，但 OU ID 和根 ID 只有在組織內是唯一。這表示沒有兩個組織共用相同的組織 ID。不過，另一個組織的 OU 或根可能與您的 ID 相同。我們建議您在指定 OU 或根時，一律包含組織 ID。

## 檢視 AWS Organizations （主控台） 的資訊
<a name="access_policies_last-accessed-viewing-orgs"></a>

您可以使用 IAM 主控台檢視您的根目錄、OU、帳戶或政策的上次存取資訊。

**檢視根目錄的資訊 (主控台)**

1.  AWS 管理主控台 使用 AWS Organizations 管理帳戶登入資料登入 ，然後開啟位於 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。

1. 在導覽窗格的 **Access reports (存取報告)** 區段下方，選擇 **Organization activity (組織活動)**。

1. 在 **Organization activity** (組織活動) 頁面，選擇 **Root** (根)。

1. 在 **Details and activity** (詳細資訊與活動) 索引標籤上檢視 **Service access report** (服務存取報告) 部分。該資訊包含直接連接至根目錄之政策所允許的服務清單。該資訊會為您顯示服務上次存取哪個帳戶的服務，以及存取時間。如需關於哪個主體存取服務的詳細資訊，請以該帳戶的管理員身分登入帳戶並[檢視 IAM 上次存取資訊](access_policies_last-accessed-view-data.md)。

1. 選擇 **Attached SCPs** (連接的 SCP) 索引標籤，檢視連接至根目錄的服務控制政策 (SCP) 清單。IAM 會顯示與每個政策連接的目標實體數量。您可以使用此資訊來決定要檢閱哪些 SCP。

1. 選擇 SCP 的名稱，以檢視政策允許的所有服務。對於每個服務，可從中檢視服務上次存取哪個帳戶的服務，以及存取時間。

1. 選擇在 **中編輯 AWS Organizations**以檢視其他詳細資訊，並在 AWS Organizations 主控台中編輯 SCP。如需詳細資訊，請參閱《AWS Organizations 使用者指南》**中的[更新 SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy)。

**檢視 OU 或帳戶的資訊 (主控台)**

1.  AWS 管理主控台 使用 AWS Organizations 管理帳戶登入資料登入 ，然後開啟位於 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。

1. 在導覽窗格的 **Access reports (存取報告)** 區段下方，選擇 **Organization activity (組織活動)**。

1. 在 **Organization activity (組織活動)**頁面，展開組織的結構。然後，選擇 OU 或您要檢視任何帳戶的名稱 (管理帳戶除外)。

1. 在 **Details and activity** (詳細資訊與活動) 索引標籤上檢視 **Service access report** (服務存取報告) 部分。該資訊包含 SCP 允許的服務清單，而且這些 SCP 都連接至 OU 或帳戶*及其*所有父系。該資訊會為您顯示服務上次存取哪個帳戶的服務，以及存取時間。如需關於哪個主體存取服務的詳細資訊，請以該帳戶的管理員身分登入帳戶並[檢視 IAM 上次存取資訊](access_policies_last-accessed-view-data.md)。

1. 選擇 **Attached SCPs** (連接的 SCP) 索引標籤，檢視直接連接至 OU 或帳戶的服務控制政策 (SCP) 清單。IAM 會顯示與每個政策連接的目標實體數量。您可以使用此資訊來決定要檢閱哪些 SCP。

1. 選擇 SCP 的名稱，以檢視政策允許的所有服務。對於每個服務，可從中檢視服務上次存取哪個帳戶的服務，以及存取時間。

1. 選擇在 **中編輯 AWS Organizations**以檢視其他詳細資訊，並在 AWS Organizations 主控台中編輯 SCP。如需詳細資訊，請參閱《AWS Organizations 使用者指南》**中的[更新 SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy)。

**檢視管理帳戶的資訊 (主控台)**

1.  AWS 管理主控台 使用 AWS Organizations 管理帳戶登入資料登入 ，然後開啟位於 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。

1. 在導覽窗格的 **Access reports (存取報告)** 區段下方，選擇 **Organization activity (組織活動)**。

1. 在 **Organization activity** (組織活動) 頁面，展開組織的結構，然後選擇管理帳戶的名稱。

1. 在 **Details and activity** (詳細資訊與活動) 索引標籤上檢視 **Service access report** (服務存取報告) 部分。這些資訊包括所有 AWS 服務的清單。管理帳戶不受 SCP 限制。該資訊會為您顯示帳戶上次是否存取服務，以及存取的時間。如需關於哪個主體存取服務的詳細資訊，請以該帳戶的管理員身分登入帳戶並[檢視 IAM 上次存取資訊](access_policies_last-accessed-view-data.md)。

1. 選擇 **Attached SCPs** (連接的 SCP) 索引標籤，以確認沒有任何連接的 SCP，因為帳戶就是管理帳戶。

**檢視政策的資訊 (主控台)**

1.  AWS 管理主控台 使用 AWS Organizations 管理帳戶登入資料登入 ，然後開啟位於 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。

1. 在導覽窗格的 **Access reports (存取報告)** 區段下方，選擇 **Service control policies (SCPs) (服務控制政策 (SCP))**。

1. 在**Service control policies (SCPs) (服務控制政策 (SCP))** 頁面上，檢視組織的政策清單。您可以檢視每個政策連接的目標實體數量。

1. 選擇 SCP 的名稱，以檢視政策允許的所有服務。對於每個服務，可從中檢視服務上次存取哪個帳戶的服務，以及存取時間。

1. 選擇在 **中編輯 AWS Organizations**以檢視其他詳細資訊，並在 AWS Organizations 主控台中編輯 SCP。如需詳細資訊，請參閱《AWS Organizations 使用者指南》**中的[更新 SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy)。

## 檢視 AWS Organizations (AWS CLI) 的資訊
<a name="access_policies_last-accessed-viewing-orgs-cli"></a>

您可以使用 AWS CLI 來擷取 AWS Organizations 根、OU、帳戶或政策的服務上次存取資訊。

**檢視 AWS Organizations 服務上次存取的資訊 (AWS CLI)**

1. 使用您的 AWS Organizations 管理帳戶登入資料搭配必要的 IAM 和 AWS Organizations 許可，並確認已為您的根目錄啟用 SCPs。如需詳細資訊，請參閱[關於上次存取資訊的注意事項](access_policies_last-accessed.md#access_policies_last-accessed-know)。

1. 產生報告。請求必須包含您想要報告之 AWS Organizations 實體 （根、OU 或帳戶） 的路徑。您可以選擇包含 `organization-policy-id` 參數，以檢視特定政策的報告。命令會傳回 `job-id`，然後您可將它用於 `get-organizations-access-report` 命令以監控 `job-status`，直到任務完成為止。
   + [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html)

1. 使用上個步驟的 `job-id` 參數來擷取報告的詳細資訊。
   + [aws iam get-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/get-organizations-access-report.html)

   此命令會傳回實體成員可以存取的服務清單。對於每個服務，命令會傳回帳戶成員上次嘗試存取的日期及時間，以及帳戶的實體路徑。它還會傳回可用來存取的服務數量，以及並未存取的服務數量。如果您指定選用的 `organizations-policy-id` 參數，則可存取的服務就是指定政策允許的服務。

## 檢視 AWS Organizations (AWS API) 的資訊
<a name="access_policies_last-accessed-viewing-orgs-api"></a>

您可以使用 AWS API 來擷取根 AWS Organizations 、OU、帳戶或政策的服務上次存取資訊。

**檢視 AWS Organizations 服務上次存取資訊 (AWS API)**

1. 使用您的 AWS Organizations 管理帳戶登入資料搭配必要的 IAM 和 AWS Organizations 許可，並確認已為您的根目錄啟用 SCPs。如需詳細資訊，請參閱[關於上次存取資訊的注意事項](access_policies_last-accessed.md#access_policies_last-accessed-know)。

1. 產生報告。請求必須包含您想要報告之 AWS Organizations 實體 （根、OU 或帳戶） 的路徑。您可以選擇包含 `OrganizationsPolicyId` 參數，以檢視特定政策的報告。操作會傳回 `JobId`，您可將它用於 `GetOrganizationsAccessReport` 操作以監控 `JobStatus`，直到任務完成為止。
   + [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html)

1. 使用上個步驟的 `JobId` 參數來擷取報告的詳細資訊。
   + [GetOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetOrganizationsAccessReport.html)

   此操作會傳回實體成員可以存取的服務清單。對於每個服務，操作會傳回帳戶成員上次嘗試存取的日期及時間，以及帳戶的實體路徑。它還會傳回可用來存取的服務數量，以及並未存取的服務數量。如果您指定選用的 `OrganizationsPolicyId` 參數，則可存取的服務就是指定政策允許的服務。