Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Processo di migrazione standard per abilitare tutte le funzionalità con Organizations
Questo argomento descrive come abilitare tutte le funzionalità con il processo di migrazione standard.
Fase 1: Richiedere agli account invitati di approvare la migrazione (account di gestione)
Quando effettui l'accesso con autorizzazioni all'account di gestione della tua organizzazione, puoi avviare il processo che ti permette di abilitare tutte le caratteristiche. Per farlo, completa le seguenti fasi.
Per abilitare tutte le caratteristiche nella tua organizzazione, devi disporre della seguente autorizzazione:
- AWS Management Console
-
Per chiedere agli account membri invitati di confermare l'abilitazione di tutte le caratteristiche nell'organizzazione
-
Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.
-
Nella pagina Impostazioni, scegliere Inizia il processo per abilitare tutte le caratteristiche.
-
Nella pagina Abilita tutte le caratteristiche, riconosci che non è possibile tornare alle caratteristiche di sola fatturazione consolidata dopo la modifica scegliendo Inizia il processo per abilitare tutte le caratteristiche.
AWS Organizations invia una richiesta a tutti gli account invitati (non creati) dell'organizzazione chiedendo l'approvazione per abilitare tutte le funzionalità dell'organizzazione. Se disponi di account creati utilizzando AWS Organizations e l'amministratore dell'account membro ha eliminato il ruolo collegato al servizio denominatoAWSServiceRoleForOrganizations, AWS Organizations invia all'account una richiesta per ricreare il ruolo.
La console visualizza l'elenco Request approval status (Stato di approvazione della richiesta) per gli account invitati.
Per tornare a questa pagina in un secondo momento, apri la pagina Settings (Impostazioni) e nella sezione Request sent date (Richiesta inviata in data) scegli View status (Visualizza stato).
-
Nella pagina Enable all features (Abilita tutte le caratteristiche) è mostrato lo stato corrente della richiesta per ogni account nell'organizzazione. Gli account che hanno accettato la richiesta mostrano uno stato di. ACCEPTED Gli account che non sono ancora stati concordati mostrano uno stato di OPEN.
- AWS CLI & AWS SDKs
-
Per chiedere agli account membri invitati di confermare l'abilitazione di tutte le caratteristiche nell'organizzazione
Per abilitare tutte le caratteristiche in un'organizzazione, puoi utilizzare uno dei seguenti comandi:
-
AWS CLI: enable-all-features
Il seguente comando avvia il processo di abilitazione di tutte le caratteristiche nell'organizzazione.
$ aws organizations enable-all-features
{
"Handshake": {
"Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "REQUESTED",
"RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00",
"ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-a1b2c3d4e5",
"Type": "ORGANIZATION"
}
]
}
}
L'output mostra i dettagli dell'handshake che gli account membri invitati devono accettare.
-
AWS SDKs: EnableAllFeatures
-
Quando la richiesta viene inviata agli account membri ha inizio un conto alla rovescia di 90 giorni. Tutti gli account devono approvare la richiesta entro questo periodo di tempo, altrimenti la richiesta scadrà. Se la richiesta scade, tutte le richieste relative a questo tentativo verranno annullate e sarà necessario iniziare di nuovo dalla fase 2.
-
Una volta effettuata la richiesta di attivazione di tutte le funzionalità, tutti gli inviti all'account non accettati esistenti verranno annullati.
-
Durante il processo di migrazione di tutte le funzionalità, puoi comunque inviare inviti a nuovi account e creare nuovi account.
Una volta che tutti gli account invitati nell'organizzazione hanno approvato le richieste, è possibile finalizzare il processo e abilitare tutte le caratteristiche. Puoi anche finalizzare immediatamente il processo se nell'organizzazione non sono presenti account membri invitati. Per finalizzare il processo, procedi con Passaggio 3: finalizza il processo di migrazione per abilitare tutte le funzionalità (account di gestione).
Passaggio 2: approva la richiesta per abilitare tutte le funzionalità o per ricreare il ruolo collegato al servizio (account invitato)
Quando effettui l'accesso con le autorizzazioni a uno degli account membri invitati dell'organizzazione, puoi approvare una richiesta a partire dall'account di gestione. Se il tuo account è stato originariamente invitato a unirsi all'organizzazione, l'invito è per abilitare tutte le caratteristiche e include implicitamente l'approvazione per ricreare il ruolo AWSServiceRoleForOrganizations, se necessario. Se il tuo account è stato invece creato utilizzando AWS Organizations e hai eliminato il ruolo AWSServiceRoleForOrganizations collegato al servizio, riceverai solo un invito a ricreare il ruolo. Per farlo, completa le seguenti fasi.
Se abiliti tutte le funzionalità, l'account di gestione dell'organizzazione potrà applicare i controlli basati su policy all'account membro. Questi controlli possono limitare le operazioni che gli utenti e anche tu come amministratore potete eseguire nel tuo account. Tali restrizioni potrebbero impedire al tuo account di lasciare l'organizzazione.
Per approvare una richiesta di abilitazione di tutte le funzionalità del tuo account membro, l'account membro deve disporre delle seguenti autorizzazioni:
-
organizations:AcceptHandshake
-
organizations:DescribeOrganization - Obbligatorio solo quando si utilizza la console Organizations
-
organizations:ListHandshakesForAccount - Obbligatorio solo quando si utilizza la console Organizations
-
iam:CreateServiceLinkedRole - Richiesta solo se il ruolo AWSServiceRoleForOrganizations deve essere ricreato nell'account membro
- AWS Management Console
-
Per confermare la richiesta di abilitazione di tutte le caratteristiche nell'organizzazione
-
Accedi alla AWS Organizations console all'indirizzo AWS Organizations console. Devi accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) in un account membro.
-
Leggere le implicazioni per l'account derivanti dall'accettazione della richiesta di abilitazione di tutte le caratteristiche nell'organizzazione, quindi scegliere Accetta. La pagina continua a visualizzare il processo come incompleto finché tutti gli account nell'organizzazione non accettano le richieste e l'amministratore dell'account di gestione non finalizza il processo.
- AWS CLI & AWS SDKs
-
Per confermare la richiesta di abilitazione di tutte le caratteristiche nell'organizzazione
Per accettare la richiesta, è necessario accettare l'handshake con "Action": "APPROVE_ALL_FEATURES".
-
AWS CLI:
Nell'esempio seguente viene illustrato come elencare le handshake disponibili per l'account. Il valore di "Id" nella quarta riga dell'output è il valore necessario per il comando successivo.
$ aws organizations list-handshakes-for-account
{
"Handshakes": [
{
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
]
}
Nell'esempio seguente viene utilizzato l'ID dell'handshake del comando precedente per accettare tale handshake.
$ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE
{
"Handshake": {
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
}
-
AWS SDKs:
Passaggio 3: finalizza il processo di migrazione per abilitare tutte le funzionalità (account di gestione)
Tutti gli account membri invitati devono approvare la richiesta per abilitare tutte le caratteristiche. Se nell'organizzazione non sono presenti account membri invitati, la pagina Enable all features progress (Avanzamento dell'abilitazione di tutte le caratteristiche) indica con un banner verde che è possibile finalizzare il processo.
Per finalizzare il processo di abilitazione di tutte le caratteristiche per l'organizzazione, devi disporre della seguente autorizzazione:
-
organizations:AcceptHandshake
-
organizations:ListHandshakesForOrganization
-
organizations:DescribeOrganization - Obbligatorio solo quando si utilizza la console Organizations
- AWS Management Console
-
Per finalizzare il processo di abilitazione di tutte le caratteristiche
-
Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.
-
Nella pagina Settings (Impostazioni), se tutti gli account invitati hanno accettato la richiesta di abilitazione di tutte le caratteristiche, nella parte superiore della pagina viene visualizzata una casella verde per tua informazione. Nella casella verde, scegli Go to finalize (Vai a finalizzare).
-
Nella pagina Enable all features (Abilita tutte le caratteristiche) scegliFinalize (Finalizza), quindi nella finestra di dialogo di conferma scegli nuovamente Finalize.
-
A questo punto, l'organizzazione dispone di tutte le caratteristiche abilitate.
- AWS CLI & AWS SDKs
-
Per finalizzare il processo di abilitazione di tutte le caratteristiche
Per finalizzare il processo, è necessario accettare l'handshake con "Action": "ENABLE_ALL_FEATURES".
-
AWS CLI:
$ aws organizations list-handshakes-for-organization
{
"Handshakes": [
{
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
]
}
Nell'esempio seguente viene illustrato come elencare le handshake disponibili per l'organizzazione. Il valore di "Id" nella quarta riga dell'output è il valore necessario per il comando successivo.
$ aws organizations accept-handshake \
--handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE
{
"Handshake": {
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
}
-
AWS SDKs:
