Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Proceso de migración estándar para habilitar todas las funciones con Organizations
En este tema se describe cómo habilitar todas las funciones con el proceso de migración estándar.
Paso 1: Solicitar a las cuentas invitadas que aprueben la migración (cuenta de administración)
Puede iniciar el proceso para habilitar todas las características iniciando sesión en la cuenta de administración de la organización. Para ello, siga los pasos que se describen a continuación.
Para habilitar todas las características en su organización, debe contar con el permiso siguiente:
- AWS Management Console
-
Para pedir a las cuentas miembro invitadas que acepten la habilitación de todas las características en la organización
-
Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.
-
En la página Configuración, elija Iniciar proceso para habilitar todas las características.
-
En la página Habilitar todas las características, confirme que entiende que no puede volver a las características de facturación unificada después de cambiar seleccionando Iniciar proceso para habilitar todas las características.
AWS Organizations envía una solicitud a todas las cuentas invitadas (no creadas) de la organización solicitando su aprobación para habilitar todas las funciones de la organización. Si tiene alguna cuenta que se haya creado utilizando la función vinculada al servicio nombrada AWS Organizations y el administrador de la cuenta miembro la ha eliminadoAWSServiceRoleForOrganizations, AWS Organizations envía a esa cuenta una solicitud para volver a crear la función.
La consola muestra la lista de Estado de las solicitudes de aprobación para las cuentas invitadas.
Para volver a esta página más adelante, abra la página Configuración y en la sección de Solicitud enviada fecha, elija Ver estado.
-
La página Habilitar todas las características muestra el estado de la solicitud actual para cada cuenta de la organización. Las cuentas que aceptaron la solicitud muestran un estado de. ACCEPTED Las cuentas que aún no se han llegado a un acuerdo muestran un estado de OPEN.
- AWS CLI & AWS SDKs
-
Para pedir a las cuentas miembro invitadas que acepten la habilitación de todas las características en la organización
Puede utilizar uno de los siguientes comandos para habilitar todas las características de una organización:
-
AWS CLI: enable-all-features
El siguiente comando inicia el proceso para habilitar todas las características en la organización.
$ aws organizations enable-all-features
{
"Handshake": {
"Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "REQUESTED",
"RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00",
"ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-a1b2c3d4e5",
"Type": "ORGANIZATION"
}
]
}
}
El resultado muestra los detalles del apretón de manos que las cuentas de miembro invitadas deben aceptar.
-
AWS SDKs: EnableAllFeatures
-
Cuando se envía la solicitud a las cuentas miembro comienza una cuenta atrás de 90 días. Todas las cuentas deben aprobar la solicitud en ese período de tiempo; en caso contrario, la solicitud caducará. Si la solicitud expira, todas las solicitudes relacionadas con este intento se cancelan y tendrá que empezar con el paso 2.
-
Cuando realice la solicitud para habilitar todas las funciones, se cancelarán todas las invitaciones a cuentas existentes que no se hayan aceptado.
-
Durante el proceso de migración de todas las funciones, aún puede iniciar invitaciones nuevas a cuentas y crear cuentas nuevas.
Después de que todas las cuentas invitadas de la organización aprueben sus solicitudes, puede finalizar el proceso y habilitar todas las características. También puede finalizar inmediatamente el proceso si su organización no tiene ninguna cuenta miembro invitada. Para finalizar el proceso, continúe con Paso 3: Finalizar el proceso de migración para habilitar todas las funciones (cuenta de administración).
Paso 2: aprueba la solicitud para habilitar todas las funciones o volver a crear el rol vinculado al servicio (cuenta invitada)
Cuando inicia sesión en una de las cuentas miembro invitadas de la organización, puede aprobar una solicitud desde una cuenta de administración. Si su cuenta recibió originalmente una invitación a unirse a la organización, la invitación es para habilitar todas las características y e incluye implícitamente la aprobación para recrear el rol AWSServiceRoleForOrganizations, si es necesario. Si, en cambio, tu cuenta se creó utilizando el rol AWSServiceRoleForOrganizations vinculado al servicio AWS Organizations y lo eliminaste, solo recibirás una invitación para volver a crear el rol. Para ello, siga los pasos que se describen a continuación.
Si habilita todas las funciones, la cuenta de administración de la organización puede aplicar controles basados en políticas a la cuenta miembro. Estos controles pueden restringir lo que los usuarios e incluso usted como administrador pueden hacer en la cuenta. Estas restricciones podrían impedir que su cuenta abandonara la organización.
Para aprobar una solicitud para habilitar todas las funciones de tu cuenta de miembro, la cuenta de miembro debe tener los siguientes permisos:
-
organizations:AcceptHandshake
-
organizations:DescribeOrganization: solo se requiere cuando se utiliza la consola de Organizations
-
organizations:ListHandshakesForAccount: solo se requiere cuando se utiliza la consola de Organizations
-
iam:CreateServiceLinkedRole: solo es necesario si el rol AWSServiceRoleForOrganizations debe crearse de nuevo en la cuenta miembro.
- AWS Management Console
-
Para aceptar la solicitud para habilitar todas las características de la organización
-
Inicie sesión en la AWS Organizations consola desde la AWS Organizations consola. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario root (no se recomienda) en una cuenta de miembro.
-
Lea las implicaciones de aceptar la solicitud de todas las características para su cuenta y después elija Aceptar. La página muestra el proceso como incompleto hasta que todas las cuentas de la organización aceptan las solicitudes y el administrador de la cuenta de administración finaliza el proceso.
- AWS CLI & AWS SDKs
-
Para aceptar la solicitud para habilitar todas las características de la organización
Para aceptar la solicitud, debe aceptar el protocolo de enlace con "Action": "APPROVE_ALL_FEATURES".
-
AWS CLI:
En el ejemplo siguiente se indica cómo enumerar los protocolo de enlace disponibles para su cuenta. El valor de "Id" en la cuarta línea de la salida es el valor que necesita para el siguiente comando.
$ aws organizations list-handshakes-for-account
{
"Handshakes": [
{
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
]
}
En el siguiente ejemplo se utiliza el ID del protocolo de enlace del comando anterior para aceptar ese protocolo de enlace.
$ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE
{
"Handshake": {
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
}
-
AWS SDKs:
Paso 3: Finalizar el proceso de migración para habilitar todas las funciones (cuenta de administración)
Todas las cuentas miembro invitadas deben aprobar la solicitud para habilitar todas las características. Si no hay ninguna cuenta miembro invitada en la organización, la página Enable all features progress (Progreso de habilitación de todas las características) indica con un banner verde que puede finalizar el proceso.
Para finalizar el proceso para habilitar todas las características de la organización, debe contar con el permiso siguiente:
-
organizations:AcceptHandshake
-
organizations:ListHandshakesForOrganization
-
organizations:DescribeOrganization: solo se requiere cuando se utiliza la consola de Organizations
- AWS Management Console
-
Para finalizar el proceso para habilitar todas las características
-
Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.
-
En la página Configuración, si todas las cuentas invitadas aceptan la solicitud para habilitar todas las características, aparecerá un cuadro verde situado en la parte superior de la página para informarle. En el cuadro verde, elija Ir a finalizar.
-
En la página Habilitar todas las características, elija Finalizar y, a continuación, en el cuadro de diálogo de confirmación, elija Finalizar de nuevo.
-
Ahora, la organización tiene habilitadas todas las características.
- AWS CLI & AWS SDKs
-
Para finalizar el proceso para habilitar todas las características
Para completar el proceso, debe aceptar el protocolo de enlace con "Action": "ENABLE_ALL_FEATURES".
-
AWS CLI:
$ aws organizations list-handshakes-for-organization
{
"Handshakes": [
{
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
]
}
En el ejemplo siguiente se indica cómo enumerar los protocolo de enlace disponibles para la organización. El valor de "Id" en la cuarta línea de la salida es el valor que necesita para el siguiente comando.
$ aws organizations accept-handshake \
--handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE
{
"Handshake": {
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
}
-
AWS SDKs:
