Processo de migração padrão para habilitar todos os recursos com Organizations - AWS Organizations
Etapa 1: enviar solicitações (conta de gerenciamento)Etapa 2: aprovar solicitações (conta convidada)Etapa 3: finalizar a migração (conta de gerenciamento)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Processo de migração padrão para habilitar todos os recursos com Organizations

Este tópico descreve como habilitar todos os recursos com o processo de migração padrão.

Etapa 1: Solicitar contas convidadas para aprovar a migração (conta de gerenciamento)

Quando faz login com permissões na conta de gerenciamento de sua organização, pode iniciar o processo para habilitar todos os recursos. Para fazer isso, conclua as seguintes etapas.

Permissões mínimas

Para ativar todos os recursos em sua organização, você deve ter as seguintes permissões:

  • organizations:EnableAllFeatures

  • organizations:DescribeOrganization – necessário somente ao usar o console do Organizations

AWS Management Console
Para pedir para as contas-membro convidadas aceitarem a ativação de todos os recursos na organização

  1. Faça login no console do AWS Organizations. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Settings (Configurações), escolha Begin process to enable all features (Iniciar processo para ativar todos os recursos).

  3. Na página Enable all features (Ativar todos os recursos), confirme que entendeu que não é possível retornar para recursos de faturamento consolidado apenas depois que você alternar escolhendo Begin process to enable all features (Iniciar processo para ativar todos os recursos).

    AWS Organizations envia uma solicitação para cada conta convidada (não criada) na organização solicitando aprovação para habilitar todos os recursos da organização. Se você tiver alguma conta criada usando AWS Organizations e o administrador da conta do membro tiver excluído a função vinculada ao serviço chamadaAWSServiceRoleForOrganizations, AWS Organizations envia a essa conta uma solicitação para recriar a função.

    O console exibe a lista Request approval status (Solicitar status de aprovação) para as contas convidadas.

    dica

    Para voltar a esta página mais tarde, abra a página Settings (Configurações) e, na seção Request sent date (Data de envio do pedido), escolha View status (Visualizar status).

  4. A página Enable all features (habilitar todos os recursos mostra o status atual da solicitação para cada conta na organização. As contas que concordaram com a solicitação mostram o status de ACCEPTED. As contas que ainda não concordaram mostram o status de OPEN.

AWS CLI & AWS SDKs
Para pedir para as contas-membro convidadas aceitarem a ativação de todos os recursos na organização

Você pode usar um dos seguintes comandos para habilitar todos os recursos em uma organização:

  • AWS CLI: enable-all-features

    O comando a seguir inicia o processo para habilitar todos os recursos na organização.

    $ aws organizations enable-all-features
{
    "Handshake": {
        "Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE",
        "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE",
        "Parties": [
            {
                "Id": "a1b2c3d4e5",
                "Type": "ORGANIZATION"
            }
        ],
        "State": "REQUESTED",
        "RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00",
        "ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00",
        "Action": "ENABLE_ALL_FEATURES",
        "Resources": [
            {
                "Value": "o-a1b2c3d4e5",
                "Type": "ORGANIZATION"
            }
        ]
    }
}

    A saída mostra os detalhes do handshake com o qual as contas dos membros convidados devem concordar.

  • AWS SDKs: EnableAllFeatures
Observações

  • Uma contagem regressiva de 90 dias começa quando a solicitação é enviada para as contas-membro. Todas as contas devem aprovar a solicitação dentro desse período. Caso contrário, a solicitação expirará. Se a validade da solicitação expirar, todas as solicitações relacionadas a essa tentativa são canceladas, e você precisa recomeçar na etapa 2.

  • Após a solicitação para ativar todos os recursos ser feita, todos os convites de conta não aceitos existentes serão cancelados.

  • Durante o processo de migração de todos os recursos, ainda será possível iniciar novos convites para contas e criar novas contas.

Depois que todas as contas da organização aprovarem as solicitações, você poderá finalizar o processo e habilitar todos os recursos. Você também pode finalizar o processo imediatamente caso sua organização não tenha nenhuma conta-membro convidada. Para finalizar o processo, continue com Etapa 3: finalizar o processo de migração para ativar todos os recursos (conta de gerenciamento).

Etapa 2: Aprovar a solicitação para ativar todos os recursos ou para recriar a função vinculada ao serviço (conta convidada)

Quando faz login em uma das contas-membro convidadas da organização, você pode aprovar uma solicitação na conta de gerenciamento. Se sua conta foi originalmente convidada a ingressar na organização, o convite será para ativar todos os recursos e implicitamente incluir a aprovação para recriar a função AWSServiceRoleForOrganizations, se necessário. Se, em vez disso, sua conta foi criada usando AWS Organizations e você excluiu a função AWSServiceRoleForOrganizations vinculada ao serviço, você receberá um convite apenas para recriar a função. Para fazer isso, conclua as seguintes etapas.

Importante

Se você habilitar todos os recursos, a conta de gerenciamento da organização poderá aplicar controles baseados em políticas na sua conta-membro. Esses controles podem restringir o que os usuários e até mesmo o que você, como administrador, poderá fazer na conta. Essas restrições podem impedir que sua conta saia da organização.

Permissões mínimas

Para aprovar uma solicitação para ativar todos os recursos da sua conta de membro, a conta de membro deve ter as seguintes permissões:

  • organizations:AcceptHandshake

  • organizations:DescribeOrganization – necessária somente ao usar o console do Organizations

  • organizations:ListHandshakesForAccount – necessário somente ao usar o console do Organizations

  • iam:CreateServiceLinkedRole – necessário somente se for preciso recriar a função AWSServiceRoleForOrganizations na conta membro

AWS Management Console
Para aceitar a solicitação de ativação de todos os recursos na organização

  1. Faça login no AWS Organizations console no AWS Organizations console. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário root (não recomendado) em uma conta de membro.

  2. Leia o que significa a aceitação da solicitação para todos os recursos na organização para a sua conta e escolha Aceitar. A página continua mostrando o processo como incompleto até que todas as contas na organização aceitem as solicitações e o administrador da conta de gerenciamento finalize o processo.

AWS CLI & AWS SDKs
Para aceitar a solicitação de ativação de todos os recursos na organização

Para aceitar a solicitação, você deve aceitar o handshake com "Action": "APPROVE_ALL_FEATURES".

  • AWS CLI:

    O exemplo a seguir mostra como listar os handshakes disponíveis para sua conta. O valor de "Id" na quarta linha da saída é o valor que você precisa para o próximo comando.

    $ aws organizations list-handshakes-for-account
{
    "Handshakes": [
        {
            "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
            "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
            "Parties": [
                {
                    "Id": "a1b2c3d4e5",
                    "Type": "ORGANIZATION"
                },
                {
                    "Id": "111122223333",
                    "Type": "ACCOUNT"
                }
            ],
            "State": "OPEN",
            "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
            "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
            "Action": "APPROVE_ALL_FEATURES",
            "Resources": [
                {
                    "Value": "c440da758cab44068cdafc812EXAMPLE",
                    "Type": "PARENT_HANDSHAKE"
                },
                {
                    "Value": "o-aa111bb222",
                    "Type": "ORGANIZATION"
                },
                {
                    "Value": "111122223333",
                    "Type": "ACCOUNT"
                }
            ]
        }
    ]
}

    O exemplo a seguir usa o ID do handshake do comando anterior para aceitar esse handshake.

    $ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE
{
    "Handshake": {
        "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
        "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
        "Parties": [
            {
                "Id": "a1b2c3d4e5",
                "Type": "ORGANIZATION"
            },
            {
                "Id": "111122223333",
                "Type": "ACCOUNT"
            }
        ],
        "State": "ACCEPTED",
        "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
        "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
        "Action": "APPROVE_ALL_FEATURES",
        "Resources": [
            {
                "Value": "c440da758cab44068cdafc812EXAMPLE",
                "Type": "PARENT_HANDSHAKE"
            },
            {
                "Value": "o-aa111bb222",
                "Type": "ORGANIZATION"
            },
            {
                "Value": "111122223333",
                "Type": "ACCOUNT"
            }
        ]
    }
}

  • AWS SDKs:

Etapa 3: finalizar o processo de migração para ativar todos os recursos (conta de gerenciamento)

Todas as contas-membro convidadas devem aprovar a solicitação para habilitar todos os recursos. Se não houver contas membros convidadas na organização, a página Progresso de ativação de todos os recursos indicará com um banner verde que você pode finalizar o processo.

Permissões mínimas

Para finalizar o processo de ativação de todos os recursos para a organização, você deve ter as seguintes permissões:

  • organizations:AcceptHandshake

  • organizations:ListHandshakesForOrganization

  • organizations:DescribeOrganization – necessário somente ao usar o console do Organizations

AWS Management Console
Para finalizar o processo para ativar todos os recursos

  1. Faça login no console do AWS Organizations. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Settings (Configurações), se todas as contas convidadas aceitarem a solicitação para habilitar todos os recursos, uma caixa verde aparecerá na parte superior da página para informar você. Na caixa verde, escolha Go to finalize (Ir para finalizar).

  3. Na página Enable all features (Habilitar todos os recursos), escolha Finalize (Finalizar) e, na caixa de diálogo de confirmação, escolha Finalize (Finalizar) novamente.

  4. A organização agora tem todos os recursos ativados.

AWS CLI & AWS SDKs
Para finalizar o processo para ativar todos os recursos

Para finalizar o processo, você deve aceitar o handshake com "Action": "ENABLE_ALL_FEATURES".

  • AWS CLI:

    $ aws organizations list-handshakes-for-organization
{
    "Handshakes": [
        {
            "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
            "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
            "Parties": [
                {
                    "Id": "a1b2c3d4e5",
                    "Type": "ORGANIZATION"
                }
            ],
            "State": "OPEN",
            "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
            "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
            "Action": "ENABLE_ALL_FEATURES",
            "Resources": [
                {
                    "Value": "o-aa111bb222",
                    "Type": "ORGANIZATION"
                }
            ]
        }
    ]
}

    O exemplo a seguir mostra como listar os handshakes disponíveis para a organização. O valor de "Id" na quarta linha da saída é o valor que você precisa para o próximo comando.

    $ aws organizations accept-handshake \
    --handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE
{
    "Handshake": {
        "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
        "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
        "Parties": [
            {
                "Id": "a1b2c3d4e5",
                "Type": "ORGANIZATION"
            }
        ],
        "State": "ACCEPTED",
        "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
        "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
        "Action": "ENABLE_ALL_FEATURES",
        "Resources": [
            {
                "Value": "o-aa111bb222",
                "Type": "ORGANIZATION"
            }
        ]
    }
}

  • AWS SDKs: