為您的組織啟用自動化 - AWS Compute Optimizer
在整個組織中啟用自動化的政策的受信任存取 AWS Organizations設定成員帳戶的自動化組織規則模式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為您的組織啟用自動化

當您為組織的管理帳戶啟用自動化時,您也可以為組織的成員帳戶設定自動化,以便在整個組織中集中實作最佳化動作。這種集中式方法可協助您大規模最佳化成本和效能。

在整個組織中啟用自動化的政策

下列政策陳述式會啟用整個組織的自動化。


                {
    "Version": "2012-10-17",                   
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
            "Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy", 
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
        },
        {
            "Effect": "Allow",
            "Action": "aco-automation:UpdateEnrollmentConfiguration",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "aco-automation:AssociateAccounts",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "aco-automation:DisassociateAccounts",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "aco-automation:ListAccounts",
            "Resource": "*"
        }
    ]
}

的受信任存取 AWS Organizations

您必須啟用信任存取,才能管理成員帳戶的自動化。當您選擇使用組織的管理帳戶加入 Compute Optimizer 並包含所有成員帳戶時,系統會自動啟用受信任的存取。這可讓 Compute Optimizer 分析資源並產生成員帳戶的建議。受信任存取也允許 Compute Optimizer 為也啟用自動化功能的成員帳戶實作建議。

Compute Optimizer 會在每次存取建議或套用成員帳戶的建議時,驗證是否啟用受信任存取。如果您停用受信任存取,管理帳戶將無法存取組織成員帳戶的建議和自動化。若要重新啟用受信任存取,請使用組織的管理帳戶再次選擇加入 Compute Optimizer,並包含所有成員帳戶。如需詳細資訊,請參閱選擇加入 AWS Compute Optimizer。如需 AWS Organizations 受信任存取的詳細資訊,請參閱AWS 《 Organizations 使用者指南》中的搭配使用 Organizations 與其他 AWS 服務。 AWS

設定成員帳戶的自動化

若要啟用成員帳戶的自動化,管理帳戶需要許可來關聯和取消帳戶關聯。這些許可允許管理帳戶為成員帳戶啟用自動化,並設定管理帳戶是否可以代表成員帳戶實作最佳化。如需詳細資訊,請參閱 在整個組織中啟用自動化的政策

與成員帳戶建立關聯後,管理帳戶或委派管理員可以檢視並套用建議的動作到成員帳戶。當您關聯成員帳戶時,其組織規則模式會自動設定為任何允許,這可讓管理帳戶建立自動化規則,以自動將動作套用至該帳戶。如果成員帳戶先前尚未啟用自動化功能,關聯程序會自動啟用它。

為成員帳戶啟用自動化

  1. https://console.aws.amazon.com/compute-optimizer/ 開啟運算最佳化工具主控台。

  2. 在導覽窗格中,選擇偏好設定區段下方的帳戶管理

  3. 選擇自動化索引標籤。

  4. 使用帳戶 ID 搜尋帳戶。

  5. 選取帳戶,然後選擇新增。您一次最多可為 50 個帳戶啟用自動化。

組織規則模式

此設定會控制管理帳戶是否可以為成員帳戶實作自動化的最佳化動作。設定為任何允許時,管理帳戶可以直接實作建議的動作或建立套用到成員帳戶的自動化規則。設為不允許時,只有成員帳戶可以根據自己的建議採取行動,且管理帳戶規則將不適用。當您為成員帳戶啟用自動化時,其組織規則模式會自動設定為任何允許。

根據組織規則模式設定,以成員帳戶為目標的組織規則會自動開始或停止套用。當模式設定為任何允許時套用規則,並在設定為無允許時停止套用規則。如果您將模式變更為不允許,組織規則啟動的任何進行中自動化步驟將繼續完成,但該帳戶的組織規則不會觸發新的自動化步驟。

設定成員帳戶的組織規則模式

  1. https://console.aws.amazon.com/compute-optimizer/ 開啟運算最佳化工具主控台。

  2. 在導覽窗格中,選擇偏好設定區段下的帳戶管理

  3. 選擇自動化索引標籤。

  4. 選取您要設定的帳戶。

  5. 選擇動作,然後選取 Allow organization rules Disallow organization rules。您一次最多可以選取和更新 50 個帳戶的組態。