Menggunakan AWS Organizations dengan yang lain Layanan AWS - AWS Organizations
Izin yang diperlukan untuk mengaktifkan akses terpercayaIzin yang diperlukan untuk menonaktifkan akses terpercayaBagaimana mengaktifkan atau menonaktifkan akses terpercayaAWS Organizations dan peran terkait layananMenggunakan peran terkait layanan AWSService RoleForDeclarativePolicies EC2 Laporkan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan AWS Organizations dengan yang lain Layanan AWS

Anda dapat menggunakan akses tepercaya untuk mengaktifkan AWS layanan yang didukung yang Anda tentukan, yang disebut layanan tepercaya, untuk melakukan tugas di organisasi Anda dan akunnya atas nama Anda. Ini melibatkan pemberian izin ke layanan tepercaya tetapi tidak memengaruhi izin untuk pengguna atau peran. Bila Anda mengaktifkan akses, layanan terpercaya dapat membuat IAM role yang disebut Peran yang terhubung dengan layanan di setiap akun di organisasi Anda kapan pun peran tersebut diperlukan. Peran tersebut memiliki kebijakan izin yang memungkinkan layanan terpercaya untuk melakukan tugas-tugas yang dijelaskan dalam layanan dokumentasi. Hal ini memungkinkan Anda untuk menentukan pengaturan dan rincian konfigurasi yang Anda ingin layanan terpercaya tersebut untuk mempertahankan akun organisasi Anda atas nama Anda. Layanan terpercaya hanya menciptakan peran terkait layanan ketika diperlukan untuk melakukan tindakan pengelolaan pada akun, dan tidak harus di semua akun organisasi.

penting

Kami sangat menyarankan bahwa, ketika opsi tersedia, Anda mengaktifkan dan menonaktifkan akses tepercaya dengan hanya menggunakan konsol layanan tepercaya, atau yang setara dengan operasi API-nya AWS CLI . Hal ini memungkinkan layanan terpercaya melakukan inisialisasi yang diperlukan ketika mengaktifkan akses terpercaya, seperti membuat sumber daya yang diperlukan dan setiap pembersihan sumber daya yang diperlukan ketika menonaktifkan akses terpercaya.

Untuk informasi tentang cara mengaktifkan atau menonaktifkan akses layanan terpercaya ke organisasi Anda menggunakan layanan terpercaya, lihat Pelajari selengkapnya tautan di bawah kolom Mendukung Akses Tepercaya di Layanan AWS yang dapat Anda gunakan dengan AWS Organizations.

Jika Anda menonaktifkan akses dengan menggunakan konsol Organizations, perintah CLI, atau operasi API, hal ini menyebabkan tindakan berikut terjadi:

  • Layanan tidak lagi dapat membuat peran yang terkait dengan layanan dalam akun di organisasi Anda. Ini berarti bahwa layanan tersebut tidak dapat menjalankan operasi atas nama Anda pada akun baru apa pun di organisasi Anda. Layanan masih dapat melakukan operasi di akun lama sampai layanan menyelesaikan pembersihannya dari AWS Organizations.

  • Layanan tidak lagi dapat melakukan tugas di akun anggota dalam organisasi, kecuali operasi tersebut secara eksplisit diizinkan oleh kebijakan IAM yang dilampirkan pada peran Anda. Ini mencakup agregasi data apa pun dari akun anggota ke akun manajemen, atau ke sebuah akun administrator yang didelegasikan, jika relevan.

  • Beberapa layanan mendeteksi ini dan membersihkan data atau sumber daya yang tersisa yang terkait dengan integrasi, sementara layanan lain berhenti mengakses organisasi tetapi meninggalkan data riwayat dan konfigurasi apa pun di tempat untuk mendukung kemungkinan pengaktifan kembali integrasi.

Sebaliknya, menggunakan konsol layanan lain atau perintah untuk menonaktifkan integrasi memastikan bahwa layanan lain dapat membersihkan sumber daya yang diperlukan hanya untuk integrasi. Bagaimana layanan membersihkan sumber daya dalam akun organisasi tergantung pada layanan tersebut. Untuk informasi lebih lanjut, lihat dokumentasi untuk layanan AWS lain.

Izin yang diperlukan untuk mengaktifkan akses terpercaya

Akses tepercaya memerlukan izin untuk dua layanan: AWS Organizations dan layanan tepercaya. Untuk mengaktifkan akses terpercaya, pilih salah satu skenario berikut ini:

  • Jika Anda memiliki kredensi dengan izin di keduanya AWS Organizations dan layanan tepercaya, aktifkan akses dengan menggunakan alat (konsol atau AWS CLI) yang disediakan oleh layanan tepercaya. Ini memungkinkan layanan untuk mengaktifkan akses tepercaya atas nama Anda dan untuk membuat sumber daya apa pun yang diperlukan agar layanan dapat beroperasi di organisasi Anda. AWS Organizations

    Izin minimum untuk kredensial ini adalah sebagai berikut:

    • organizations:EnableAWSServiceAccess. Anda juga dapat menggunakan kunci kondisi organizations:ServicePrincipal dengan operasi ini untuk membatasi permintaan yang operasi tersebut membuat daftar nama utama layanan disetujui. Untuk informasi selengkapnya, lihat Kunci syarat.

    • organizations:ListAWSServiceAccessForOrganization— Diperlukan jika Anda menggunakan AWS Organizations konsol.

    • Izin minimum yang diperlukan oleh layanan terpercaya tergantung pada layanan. Untuk informasi lebih lanjut, lihat dokumentasi layanan terpercaya.

  • Jika satu orang memiliki kredensi dengan izin AWS Organizations tetapi orang lain memiliki kredensional dengan izin di layanan tepercaya, lakukan langkah-langkah ini dalam urutan berikut:

    1. Orang yang memiliki kredensional dengan izin AWS Organizations harus menggunakan AWS Organizations konsol, SDK AWS CLI, atau AWS SDK untuk mengaktifkan akses tepercaya untuk layanan tepercaya. Ini memberikan izin ke layanan lain untuk melakukan konfigurasi yang diperlukan dalam organisasi ketika langkah berikut (langkah 2) dilakukan.

      AWS Organizations Izin minimum adalah sebagai berikut:

      • organizations:EnableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization— Diperlukan hanya jika Anda menggunakan AWS Organizations konsol

      Untuk langkah-langkah mengaktifkan akses tepercaya AWS Organizations, lihatBagaimana mengaktifkan atau menonaktifkan akses terpercaya.

    2. Orang yang memiliki mandat dengan izin dalam layanan terpercaya memungkinkan bahwa layanan untuk bekerja dengan AWS Organizations. Ini menginstruksikan layanan untuk melakukan inisialisasi yang diperlukan, seperti membuat sumber daya yang diperlukan untuk layanan terpercaya untuk beroperasi dalam organisasi. Untuk informasi lebih lanjut, lihat instruksi khusus layanan di Layanan AWS yang dapat Anda gunakan dengan AWS Organizations.

Izin yang diperlukan untuk menonaktifkan akses terpercaya

Bila Anda tidak lagi ingin mengizinkan layanan terpercaya beroperasi pada organisasi Anda atau akunnya, pilih salah satu skenario berikut ini.

penting

Menonaktifkan akses layanan terpercaya tidak mencegah pengguna dan peran dengan izin yang sesuai dari penggunaan layanan tersebut. Untuk sepenuhnya memblokir pengguna dan peran agar tidak mengakses AWS layanan, Anda dapat menghapus izin IAM yang memberikan akses tersebut, atau Anda dapat menggunakan kebijakan kontrol layanan () SCPs di. AWS Organizations

Anda hanya dapat mendaftar SCPs ke akun anggota. SCPs tidak berlaku untuk akun manajemen. Kami menyarankan Anda untuk tidak menjalankan layanan di akun manajemen. Sebagai gantinya, jalankan di akun anggota tempat Anda dapat mengontrol keamanan dengan menggunakan SCPs.

  • Jika Anda memiliki kredensi dengan izin di keduanya AWS Organizations dan layanan tepercaya, nonaktifkan akses dengan menggunakan alat (konsol atau AWS CLI) yang tersedia untuk layanan tepercaya. Layanan kemudian membersihkan dengan menghapus sumber daya yang tidak lagi diperlukan dan dengan menonaktifkan akses terpercaya untuk layanan di AWS Organizations atas nama Anda.

    Izin minimum untuk kredensial ini adalah sebagai berikut:

    • organizations:DisableAWSServiceAccess. Anda juga dapat menggunakan kunci kondisi organizations:ServicePrincipal dengan operasi ini untuk membatasi permintaan yang operasi tersebut membuat daftar nama utama layanan disetujui. Untuk informasi selengkapnya, lihat Kunci syarat.

    • organizations:ListAWSServiceAccessForOrganization— Diperlukan jika Anda menggunakan AWS Organizations konsol.

    • Izin minimum yang diperlukan oleh layanan terpercaya tergantung pada layanan. Untuk informasi lebih lanjut, lihat dokumentasi layanan terpercaya.

  • Jika kredensional dengan izin di AWS Organizations bukan kredensional dengan izin di layanan tepercaya, lakukan langkah-langkah ini dalam urutan berikut:

    1. Orang dengan izin di layanan terpercaya pertama menonaktifkan akses menggunakan layanan tersebut. Ini menginstruksikan layanan terpercaya untuk membersihkan dengan menghapus sumber daya yang diperlukan untuk akses terpercaya. Untuk informasi lebih lanjut, lihat instruksi khusus layanan di Layanan AWS yang dapat Anda gunakan dengan AWS Organizations.

    2. Orang dengan izin masuk kemudian AWS Organizations dapat menggunakan AWS Organizations konsol, AWS CLI, atau AWS SDK untuk menonaktifkan akses untuk layanan tepercaya. Ini akan menghapus izin untuk layanan terpercaya dari organisasi dan akunnya.

      AWS Organizations Izin minimum adalah sebagai berikut:

      • organizations:DisableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization— Diperlukan hanya jika Anda menggunakan AWS Organizations konsol

      Untuk langkah-langkah untuk menonaktifkan akses tepercaya di AWS Organizations, lihatBagaimana mengaktifkan atau menonaktifkan akses terpercaya.

Bagaimana mengaktifkan atau menonaktifkan akses terpercaya

Jika Anda memiliki izin hanya untuk AWS Organizations dan Anda ingin mengaktifkan atau menonaktifkan akses tepercaya ke organisasi Anda atas nama administrator AWS layanan lain, gunakan prosedur berikut.

penting

Kami sangat menyarankan bahwa, ketika opsi tersedia, Anda mengaktifkan dan menonaktifkan akses tepercaya dengan hanya menggunakan konsol layanan tepercaya, atau yang setara dengan operasi API-nya AWS CLI . Hal ini memungkinkan layanan terpercaya melakukan inisialisasi yang diperlukan ketika mengaktifkan akses terpercaya, seperti membuat sumber daya yang diperlukan dan setiap pembersihan sumber daya yang diperlukan ketika menonaktifkan akses terpercaya.

Untuk informasi tentang cara mengaktifkan atau menonaktifkan akses layanan terpercaya ke organisasi Anda menggunakan layanan terpercaya, lihat Pelajari selengkapnya tautan di bawah kolom Mendukung Akses Tepercaya di Layanan AWS yang dapat Anda gunakan dengan AWS Organizations.

Jika Anda menonaktifkan akses dengan menggunakan konsol Organizations, perintah CLI, atau operasi API, hal ini menyebabkan tindakan berikut terjadi:

  • Layanan tidak lagi dapat membuat peran yang terkait dengan layanan dalam akun di organisasi Anda. Ini berarti bahwa layanan tersebut tidak dapat menjalankan operasi atas nama Anda pada akun baru apa pun di organisasi Anda. Layanan masih dapat melakukan operasi di akun lama sampai layanan menyelesaikan pembersihannya dari AWS Organizations.

  • Layanan tidak lagi dapat melakukan tugas di akun anggota dalam organisasi, kecuali operasi tersebut secara eksplisit diizinkan oleh kebijakan IAM yang dilampirkan pada peran Anda. Ini mencakup agregasi data apa pun dari akun anggota ke akun manajemen, atau ke sebuah akun administrator yang didelegasikan, jika relevan.

  • Beberapa layanan mendeteksi ini dan membersihkan data atau sumber daya yang tersisa yang terkait dengan integrasi, sementara layanan lain berhenti mengakses organisasi tetapi meninggalkan data riwayat dan konfigurasi apa pun di tempat untuk mendukung kemungkinan pengaktifan kembali integrasi.

Sebaliknya, menggunakan konsol layanan lain atau perintah untuk menonaktifkan integrasi memastikan bahwa layanan lain dapat membersihkan sumber daya yang diperlukan hanya untuk integrasi. Bagaimana layanan membersihkan sumber daya dalam akun organisasi tergantung pada layanan tersebut. Untuk informasi selengkapnya, lihat dokumentasi untuk AWS layanan lainnya.

AWS Management Console
Bagaimana mengaktifkan akses layanan terpercaya

  1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

  2. Pada halaman Layanan, temukan baris untuk layanan yang ingin Anda aktifkan, dan pilih namanya.

  3. Pilih Aktifkan akses terpercaya.

  4. Di kotak dialog konfirmasi, centang kotak untuk Menampilkan opsi untuk mengaktifkan akses terpercaya, masukkan enable dalam kotak, dan kemudian pilih Aktifkan akses terpercaya.

  5. Jika Anda mengaktifkan akses, beri tahu administrator AWS layanan lain bahwa mereka sekarang dapat mengaktifkan layanan lain untuk bekerja dengannya AWS Organizations.

Cara menonaktifkan akses layanan terpercaya

  1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

  2. Pada halaman Layanan, temukan baris untuk layanan yang ingin Anda menonaktifkan, dan pilih namanya.

  3. Tunggu sampai administrator layanan lain memberitahu Anda bahwa layanan dinonaktifkan dan bahwa sumber dayanya telah dibersihkan.

  4. Di kotak dialog konfirmasi, masukkan disable dalam kotak, dan kemudian pilih Menonaktifkan akses terpercaya.

AWS CLI, AWS API
Untuk mengaktifkan atau menonaktifkan akses terpercaya

Anda dapat menggunakan AWS CLI perintah atau operasi API berikut untuk mengaktifkan atau menonaktifkan akses layanan tepercaya:

AWS Organizations dan peran terkait layanan

AWS Organizations menggunakan peran terkait layanan IAM untuk memungkinkan layanan tepercaya melakukan tugas atas nama Anda di akun anggota organisasi Anda. Bila Anda mengonfigurasi layanan terpercaya dan memberikan otorisasi kepadanya untuk diintegrasikan dengan organisasi Anda, layanan tersebut dapat meminta AWS Organizations membuat peran tertaut layanan di akun anggotanya. Layanan tepercaya melakukan ini secara asinkron sesuai kebutuhan dan tidak harus di semua akun di organisasi secara bersamaan. Peran tertaut layanan memiliki izin IAM yang telah ditetapkan sebelumnya yang memungkinkan layanan terpercaya untuk melakukan hanya tugas tertentu dalam akun tersebut. Secara umum, AWS mengelola semua peran tertaut layanan, yang berarti bahwa Anda biasanya tidak dapat mengubah peran atau kebijakan yang dilampirkan.

Agar semua ini dapat dilakukan, bila Anda membuat akun di organisasi atau menerima undangan untuk bergabung dengan akun yang ada ke organisasi, AWS Organizations ketentuan akun anggota dengan peran tertaut layanan yang bernama AWSServiceRoleForOrganizations. Hanya AWS Organizations layanan itu sendiri yang dapat mengambil peran ini. Peran ini memiliki izin yang memungkinkan AWS Organizations untuk membuat peran terkait layanan untuk lainnya. Layanan AWS Peran tertaut layanan ini hadir di semua organisasi.

Meskipun kami tidak merekomendasikannya, jika organisasi Anda hanya telah mengaktifkan fitur penagihan gabungan, peran tertaut layanan yang bernama AWSServiceRoleForOrganizations tidak pernah digunakan, dan Anda dapat menghapusnya. Jika nanti Anda ingin mengaktifkan semua fitur di organisasi Anda, peran tersebut diperlukan, dan Anda harus memulihkannya. Pemeriksaan berikut terjadi ketika Anda memulai proses untuk mengaktifkan semua fitur:

  • Untuk setiap akun anggota yang diundang untuk bergabung organisasi — Administrator akun menerima permintaan untuk menyetujui untuk mengaktifkan semua fitur. Agar berhasil menyetujui permintaan tersebut, administrator harus memiliki kedua izin organizations:AcceptHandshake dan iam:CreateServiceLinkedRole jika peran yang ditautkan dengan layanan (AWSServiceRoleForOrganizations) belum ada. Jika peran AWSServiceRoleForOrganizations sudah ada, administrator hanya membutuhkan izin organizations:AcceptHandshake untuk menyetujui permintaan tersebut. Ketika administrator menyetujui permintaan tersebut, AWS Organizations buat peran terkait layanan jika belum ada.

  • Untuk setiap akun anggota yang dibuat dalam organisasi — Administrator akun menerima permintaan untuk membuat ulang peran tertaut layanan tersebut. (Administrator akun anggota tidak menerima permintaan untuk mengaktifkan semua fitur karena administrator akun manajemen (sebelumnya dikenal sebagai "akun master") dianggap sebagai pemilik akun anggota yang dibuat.) AWS Organizations membuat peran tertaut layanan ketika administrator akun anggota menyetujui permintaan tersebut. Administrator harus memiliki kedua izin organizations:AcceptHandshake dan iam:CreateServiceLinkedRole untuk berhasil menerima jabat tangan.

Setelah Anda mengaktifkan semua fitur di organisasi Anda, Anda tidak lagi dapat menghapus peran tertaut layanan AWSServiceRoleForOrganizations dari akun mana pun.

penting

AWS Organizations SCPs tidak pernah mempengaruhi peran terkait layanan. Peran ini dibebaskan dari pembatasan SCP.

Menggunakan peran terkait layanan AWSService RoleForDeclarativePolicies EC2 Laporkan

Peran AWSServiceRoleForDeclarativePoliciesEC2Report terkait layanan digunakan oleh Organizations untuk menjelaskan status atribut akun untuk akun anggota untuk membuat laporan Kebijakan Deklaratif. Izin peran didefinisikan dalam. AWS kebijakan terkelola: DeclarativePoliciesEC2Report