本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Organizations 搭配其他 使用 AWS 服務
您可以使用*信任存取*來啟用您指定的支援 AWS 服務,稱為*信任服務*,以代表您在組織及其帳戶中執行任務。這包括授予許可給信任的服務,但*不會*影響使用者或角色的許可。啟用存取權後,受信任的服務可在需要該角色時,在您組織的每個帳戶中建立一個稱為*服務連結角色*的 IAM 角色。該角色擁有的許可政策,會允許信任的服務執行該服務文件中所述的任務。這可讓您指定您想要信任的服務代表您在組織的帳戶中維護的設定和組態詳細資訊。受信任的服務只有在需要於帳戶上執行管理動作時,才會建立服務連結角色,而且不一定會在組織的所有帳戶中執行。
**重要**
我們***強烈建議***,當 選項可用時,您只能使用受信任服務的主控台,或其 AWS CLI 或 API 操作對等項目******來啟用和停用受信任存取。這可讓受信任的服務在啟用受信任的存取時執行任何必要的初始化,例如在停用受信任的存取時,建立任何必要的資源和任何必要的資源清除。
如需如何使用受信任的服務來啟用或停用組織的受信任服務存取的相關資訊,請參閱 [AWS 服務 您可以搭配 使用 AWS Organizations](orgs_integrate_services_list.md) 的**支援受信任的存取**欄下方的**進一步了解**連結。
如果您使用 Organizations 主控台、CLI 命令或 API 操作來停用存取權,則會導致發生下列動作:
服務無法再在您組織的帳戶中建立服務連結角色。這意味著服務無法代表您在組織的任何新帳戶上執行操作。服務仍然可以在較舊的帳戶中執行操作,直至服務完成從 AWS Organizations中清除。
除非附加至您角色的 IAM 政策明確允許這些操作,否則服務無法再在組織的成員帳戶中執行任務。這包括從成員帳戶到管理帳戶,或委派管理員帳戶 (如相關) 的任何資料彙總。
某些服務會偵測到這一點,並清除與整合相關的任何剩餘的資料或資源,而其他服務會停止存取組織,但會保留任何歷史資料和組態,以針對可能的重新啟用整合提供支援。
而使用其他服務的主控台或命令來停用整合,可確保其他服務可以清除僅用於整合所需的任何資源。服務如何清除組織帳戶中的資源取決於該服務。如需詳細資訊,請參閱其他 AWS 服務的安全文件。
## 啟用信任的存取所需的許可
受信任存取需要兩個服務的許可: AWS Organizations 和受信任的服務。若要啟用信任的存取,請選擇以下其中一個案例:
+ 如果您在 AWS Organizations 和信任的服務中具有具有許可的登入資料,請使用信任服務提供的工具 (主控台或 AWS CLI) 來啟用存取。這可讓服務 AWS Organizations 代表您在 中啟用受信任存取,並建立服務在組織中操作所需的任何資源。
這些登入資料的最低許可如下:
+ `organizations:EnableAWSServiceAccess`.您也可以使用 `organizations:ServicePrincipal` 條件金鑰搭配此操作,來限制這些操作對核准的服務委託人名稱清單所做的請求。如需詳細資訊,請參閱[條件索引鍵](orgs_permissions_overview.md#orgs_permissions_conditionkeys)。
+ `organizations:ListAWSServiceAccessForOrganization` – 如果您使用 AWS Organizations 主控台,則為必要項目。
+ 信任的服務所需的最低許可取決於服務。如需詳細資訊,請參閱信任的服務的文件。
+ 如果一個人擁有 中具有許可的登入資料, AWS Organizations 但其他人擁有信任服務中具有許可的登入資料,請依下列順序執行這些步驟:
1. 擁有 中許可的登入資料的人員 AWS Organizations 應使用 AWS Organizations 主控台 AWS CLI、 或 AWS SDK 來啟用受信任服務的受信任存取。在執行以下步驟 (步驟 2) 時,這會授予其他服務的許可,以在組織中執行所需的組態。
最低 AWS Organizations 許可如下:
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListAWSServiceAccessForOrganization` – 只有在您使用 AWS Organizations 主控台時才需要
如需在 中啟用受信任存取的步驟 AWS Organizations,請參閱 [如何啟用或停用信任的存取](#orgs_how-to-enable-disable-trusted-access)。
1. 擁有信任的服務中許可的憑證的人員,可讓該服務與 AWS Organizations搭配使用。這會指示服務執行任何必要的初始化,例如建立讓信任的服務在組織中操作所需的任何資源。如需詳細資訊,請參閱服務特定指示,位於[AWS 服務 您可以搭配 使用 AWS Organizations](orgs_integrate_services_list.md)。
## 停用信任的存取所需的許可
當您不想允許信任的服務在您的組織上或其帳戶上運作,請選擇以下其中一個案例。
**重要**
停用信任的服務存取***不會*** 防止具有適當的許可的使用者和角色使用該服務。若要完全封鎖使用者和角色存取 AWS 服務,您可以移除授予該存取權的 IAM 許可,也可以在其中使用[服務控制政策 (SCPs)](orgs_manage_policies_scps.md) AWS Organizations。
您只能將 SCP 套用至成員帳戶。SCP 不會套用至管理帳戶。建議您[不要在管理帳戶中執行服務。](orgs_best-practices_mgmt-acct.md#bp_mgmt-acct_use-mgmt)而是在成員帳戶中執行,您可以在此使用 SCP 控制安全性。
+ 如果您的登入資料同時具有 AWS Organizations 和信任服務的許可,請使用信任服務可用的工具 (主控台或 AWS CLI) 來停用存取。此服務會藉由移除不再需要的資源,以及代表您停用 AWS Organizations 中服務的信任的存取來進行清理。
這些登入資料的最低許可如下:
+ `organizations:DisableAWSServiceAccess`.您也可以使用 `organizations:ServicePrincipal` 條件金鑰搭配此操作,來限制這些操作對核准的服務委託人名稱清單所做的請求。如需詳細資訊,請參閱[條件索引鍵](orgs_permissions_overview.md#orgs_permissions_conditionkeys)。
+ `organizations:ListAWSServiceAccessForOrganization` – 如果您使用 AWS Organizations 主控台,則為必要項目。
+ 信任的服務所需的最低許可取決於服務。如需詳細資訊,請參閱信任的服務的文件。
+ 如果 中具有許可的登入資料 AWS Organizations 不是信任服務中具有許可的登入資料,請依下列順序執行這些步驟:
1. 擁有信任的服務中許可的人員會先使用該服務停用存取。這會指示信任的服務透過移除信任的存取所需的資源來進行清理。如需詳細資訊,請參閱服務特定指示,位於[AWS 服務 您可以搭配 使用 AWS Organizations](orgs_integrate_services_list.md)。
1. 具有 許可的人員接著 AWS Organizations 可以使用 AWS Organizations 主控台 AWS CLI或 AWS SDK 來停用受信任服務的存取。這會從組織及其帳戶移除信任的服務的許可。
最低 AWS Organizations 許可如下:
+ `organizations:DisableAWSServiceAccess`
+ `organizations:ListAWSServiceAccessForOrganization` – 只有在您使用 AWS Organizations 主控台時才需要
如需在 中停用受信任存取的步驟 AWS Organizations,請參閱 [如何啟用或停用信任的存取](#orgs_how-to-enable-disable-trusted-access)。
## 如何啟用或停用信任的存取
如果您只有 的許可, AWS Organizations 而且想要代表其他服務的管理員啟用或停用對組織的信任存取 AWS ,請使用下列程序。
**重要**
我們***強烈建議***,當 選項可用時,您只能使用受信任服務的主控台,或其 AWS CLI 或 API 操作對等項目******來啟用和停用受信任存取。這可讓受信任的服務在啟用受信任的存取時執行任何必要的初始化,例如在停用受信任的存取時,建立任何必要的資源和任何必要的資源清除。
如需如何使用受信任的服務來啟用或停用組織的受信任服務存取的相關資訊,請參閱 [AWS 服務 您可以搭配 使用 AWS Organizations](orgs_integrate_services_list.md) 的**支援受信任的存取**欄下方的**進一步了解**連結。
如果您使用 Organizations 主控台、CLI 命令或 API 操作來停用存取權,則會導致發生下列動作:
服務無法再在您組織的帳戶中建立服務連結角色。這意味著服務無法代表您在組織的任何新帳戶上執行操作。服務仍然可以在較舊的帳戶中執行操作,直至服務完成從 AWS Organizations中清除。
除非附加至您角色的 IAM 政策明確允許這些操作,否則服務無法再在組織的成員帳戶中執行任務。這包括從成員帳戶到管理帳戶,或委派管理員帳戶 (如相關) 的任何資料彙總。
某些服務會偵測到這一點,並清除與整合相關的任何剩餘的資料或資源,而其他服務會停止存取組織,但會保留任何歷史資料和組態,以針對可能的重新啟用整合提供支援。
而使用其他服務的主控台或命令來停用整合,可確保其他服務可以清除僅用於整合所需的任何資源。服務如何清除組織帳戶中的資源取決於該服務。如需詳細資訊,請參閱其他服務的文件 AWS 。
------
#### [ AWS 管理主控台 ]
**啟用受信任的服務存取**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在**[服務](https://console.aws.amazon.com/organizations/v2/home/services)**頁面,尋找您要啟用的服務的資料列,然後選擇其名稱。
1. 選擇 **Enable trusted access (啟用信任存取)**。
1. 在確認對話方塊中,勾選**顯示啟用受信任的存取**選項,在方塊中輸入 **enable**,然後選擇**啟用受信任存取**。
1. 如果您要*啟用*存取,請告訴 AWS 其他服務的管理員,他們現在可以啟用其他服務 AWS Organizations。
**若要停用受信任的服務存取**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在**[服務](https://console.aws.amazon.com/organizations/v2/home/services)**頁面,尋找您要停用的服務的資料列,然後選擇其名稱。
1. 請等候直到其他服務的管理員告知您已停用服務並且已清除資源為止。
1. 在確認對話方塊中,輸入 **disable**,然後選擇**停用受信任的存取**。
------
#### [ AWS CLI, AWS API ]
**啟用或停用受信任的服務存取**
您可以使用下列 AWS CLI 命令或 API 操作來啟用或停用信任的服務存取:
+ AWS CLI: AWS organizations [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)
+ AWS CLI: AWS organizations [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)
+ AWS API:[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)
+ AWS API:[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)
------
## AWS Organizations 和服務連結角色
AWS Organizations 使用 [IAM 服務連結角色](https://aws.amazon.com/blogs/security/introducing-an-easier-way-to-delegate-permissions-to-aws-services-service-linked-roles/),讓信任的服務能夠代表您在組織的成員帳戶中執行任務。設定信任的服務並授權它來與您的組織整合時,該服務可以請求 AWS Organizations 在其成員帳戶中建立服務連結角色。信任的服務會視需要以非同步方式執行此動作,但不一定會同時在組織的所有帳戶中建立。服務連結角色具有預先定義的 IAM 許可,允許受信任的服務僅在該帳戶內執行特定任務。一般而言, AWS 會管理所有服務連結角色,這表示您通常無法更改角色或連接的政策。
為了讓它可行,當您在組織中建立帳戶或接受將您的現有帳戶加入組織的邀請時, AWS Organizations 會為該成員帳戶佈建名為 `AWSServiceRoleForOrganizations` 的服務連結角色。只有 AWS Organizations 服務本身可以擔任此角色。角色具有允許 AWS Organizations 為其他角色建立服務連結角色的許可 AWS 服務。此服務連結角色會出現在所有組織中。
雖然我們不建議這麼做,如果您的組織只啟用了[合併帳單功能](orgs_getting-started_concepts.md#feature-set-cb-only),則絕不會使用名為 `AWSServiceRoleForOrganizations` 的服務連結角色,您可以將其刪除。如果您稍後想要在組織中啟用[所有功能](orgs_getting-started_concepts.md#feature-set-all),則需要該角色,您必須將它還原。當您開始啟用所有功能的程序時,會發生下列檢查:
+ **對於*獲邀加入*組織**的每個成員帳戶 – 帳戶管理員會收到請求,請求接受啟用所有功能。若要成功同意請求,管理員必須同時擁有 `organizations:AcceptHandshake` *和* `iam:CreateServiceLinkedRole` 許可,如果服務連結角色 (`AWSServiceRoleForOrganizations`) 尚不存在。如果 `AWSServiceRoleForOrganizations` 角色已存在,管理員只需要 `organizations:AcceptHandshake` 許可即可接受請求。當管理員同意請求時,如果服務連結角色尚未存在, 會 AWS Organizations 建立該角色。
+ **對於在組織中*建立的*每個成員帳戶** – 帳戶管理員會收到請求,請求重新建立服務連結角色。(成員帳戶的管理員不會收到啟用所有功能的請求,因為管理帳戶 (之前稱為「主帳戶」) 的管理員會被視為建立成員帳戶的擁有者。) 當成員帳戶管理員接受請求時, AWS Organizations 會建立服務連結角色。管理員必須同時擁有 `organizations:AcceptHandshake` *和* `iam:CreateServiceLinkedRole` 許可,才能成功接受交握。
在組織中啟用所有功能之後,您不再可以從任何帳戶刪除 `AWSServiceRoleForOrganizations` 服務連結角色。
**重要**
AWS Organizations SCPs永遠不會影響服務連結角色。這些角色不受任何 SCP 的限制。
## 使用 AWSServiceRoleForDeclarativePoliciesEC2Report 服務連結角色
Organizations `AWSServiceRoleForDeclarativePoliciesEC2Report`會使用服務連結角色來描述成員帳戶的帳戶屬性狀態,以建立宣告政策報告。角色的許可在 中定義[AWS 受管政策: DeclarativePoliciesEC2Report](orgs_reference_available-policies.md#security-iam-awsmanpol-DeclarativePoliciesEC2Report)。