AWS Organizations 與其他配合使用 AWS 服務 - AWS Organizations
啟用信任的存取所需的許可停用信任的存取所需的許可如何啟用或停用信任的存取AWS Organizations 和服務連結角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Organizations 與其他配合使用 AWS 服務

您可以使用受信任的存取來啟用指定的支援 AWS 服務 (稱為受信任的服務),以代表您在組織及其帳戶中執行工作。這包括授予許可給信任的服務,但不會影響使用者或角色的許可。當您啟用存取時,受信任的服務可以在需要該IAM角色時,在組織中的每個帳戶中建立稱為服務連結角色的角色。該角色擁有的許可政策,會允許信任的服務執行該服務文件中所述的任務。這可讓您指定您想要信任的服務代表您在組織的帳戶中維護的設定和組態詳細資訊。受信任的服務只有在需要於帳戶上執行管理動作時,才會建立服務連結角色,而且不一定會在組織的所有帳戶中執行。

重要

強烈建議您在選項可用時,使用受信任服務的主控台或其 AWS CLI 或API作業對等項目來啟用和停用受信任的存取。這可讓受信任的服務在啟用受信任的存取時執行任何必要的初始化,例如在停用受信任的存取時,建立任何必要的資源和任何必要的資源清除。

如需如何使用受信任的服務來啟用或停用組織的受信任服務存取的相關資訊,請參閱 AWS 服務 您可以搭配 使用 AWS Organizations支援受信任的存取欄下方的進一步了解連結。

如果您使用「Organizations」主控台、CLI命令或作API業來停用存取權,則會導致發生下列動作:

  • 服務無法再在您組織的帳戶中建立服務連結角色。這意味著服務無法代表您在組織的任何新帳戶上執行操作。服務仍然可以在較舊的帳戶中執行操作,直至服務完成從 AWS Organizations中清除。

  • 除非附加到角色的IAM原則明確允許這些作業,否則服務無法再在組織中的成員帳戶中執行工作。這包括從成員帳戶到管理帳戶,或委派管理員帳戶 (如相關) 的任何資料彙總。

  • 某些服務會偵測到這一點,並清除與整合相關的任何剩餘的資料或資源,而其他服務會停止存取組織,但會保留任何歷史資料和組態,以針對可能的重新啟用整合提供支援。

而使用其他服務的主控台或命令來停用整合,可確保其他服務可以清除僅用於整合所需的任何資源。服務如何清除組織帳戶中的資源取決於該服務。如需詳細資訊,請參閱其他 AWS 服務的安全文件。

啟用信任的存取所需的許可

受信任的存取需要兩個服務的權限:以 AWS Organizations 及受信任的服務。若要啟用信任的存取,請選擇以下其中一個案例:

  • 如果您在受信任的服務 AWS Organizations 和受信任的服務中都具有權限的認證,請使用受信任服務提供的工具 (控制台或 AWS CLI) 來啟用存取。這可讓服務代表您啟用受信任 AWS Organizations 的存取,並建立服務在您的組織中運作所需的任何資源。

    這些登入資料的最低許可如下:

    • organizations:EnableAWSServiceAccess.您也可以使用 organizations:ServicePrincipal 條件金鑰搭配此操作,來限制這些操作對核准的服務委託人名稱清單所做的請求。如需詳細資訊,請參閱條件索引鍵

    • organizations:ListAWSServiceAccessForOrganization— 如果您使用 AWS Organizations 主控台,則為必要項目。

    • 信任的服務所需的最低許可取決於服務。如需詳細資訊,請參閱信任的服務的文件。

  • 如果某人在中擁有具有權限的認證, AWS Organizations 但其他人在受信任服務中擁有具有權限的認證,請依下列順序執行這些步驟:

    1. 具有中具有權限之認證的人員 AWS Organizations 應該使用 AWS Organizations 主控台 AWS CLI、或啟 AWS SDK用受信任服務的受信任存取。在執行以下步驟 (步驟 2) 時,這會授予其他服務的許可,以在組織中執行所需的組態。

      最低 AWS Organizations 權限如下:

      • organizations:EnableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization— 僅當您使用 AWS Organizations 主控台時才需要

      如需在中啟用受信任存取的步驟 AWS Organizations,請參閱如何啟用或停用信任的存取

    2. 擁有信任的服務中許可的憑證的人員,可讓該服務與 AWS Organizations搭配使用。這會指示服務執行任何必要的初始化,例如建立讓信任的服務在組織中操作所需的任何資源。如需詳細資訊,請參閱服務特定指示,位於AWS 服務 您可以搭配 使用 AWS Organizations

停用信任的存取所需的許可

當您不想允許信任的服務在您的組織上或其帳戶上運作,請選擇以下其中一個案例。

重要

停用信任的服務存取不會 防止具有適當的許可的使用者和角色使用該服務。若要完全封鎖使用者和角色存取 AWS 服務,您可以移除授與該存取IAM權的權限,或者您可以使用中的服務控制原則 (SCPs) AWS Organizations。

您只能申SCPs請會員帳戶。SCPs不適用於管理帳戶。建議您不要在管理帳戶中執行服務。而是在成員帳戶中運行它們,您可以在其中使用來控制安全性SCPs。

  • 如果您在受信任的服務 AWS Organizations 和受信任的服務中都具有權限的認證,請使用受信任服務可用的工具 (控制台或 AWS CLI) 來停用存取。此服務會藉由移除不再需要的資源,以及代表您停用 AWS Organizations 中服務的信任的存取來進行清理。

    這些登入資料的最低許可如下:

    • organizations:DisableAWSServiceAccess.您也可以使用 organizations:ServicePrincipal 條件金鑰搭配此操作,來限制這些操作對核准的服務委託人名稱清單所做的請求。如需詳細資訊,請參閱條件索引鍵

    • organizations:ListAWSServiceAccessForOrganization— 如果您使用 AWS Organizations 主控台,則為必要項目。

    • 信任的服務所需的最低許可取決於服務。如需詳細資訊,請參閱信任的服務的文件。

  • 如果中具有權限的認證 AWS Organizations 不是受信任服務中具有權限的認證,請依下列順序執行這些步驟:

    1. 擁有信任的服務中許可的人員會先使用該服務停用存取。這會指示信任的服務透過移除信任的存取所需的資源來進行清理。如需詳細資訊,請參閱服務特定指示,位於AWS 服務 您可以搭配 使用 AWS Organizations

    2. 在中具有權限的人員 AWS Organizations 可以使用 AWS Organizations 控制台 AWS CLI,或停 AWS SDK用受信任服務的存取權。這會從組織及其帳戶移除信任的服務的許可。

      最低 AWS Organizations 權限如下:

      • organizations:DisableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization— 僅當您使用 AWS Organizations 主控台時才需要

      如需在中停用受信任存取的步驟 AWS Organizations,請參閱如何啟用或停用信任的存取

如何啟用或停用信任的存取

如果您只有權限, AWS Organizations 而且想要代表其他 AWS 服務的管理員啟用或停用組織的受信任存取權,請使用下列程序。

重要

強烈建議您在選項可用時,使用受信任服務的主控台或其 AWS CLI 或API作業對等項目來啟用和停用受信任的存取。這可讓受信任的服務在啟用受信任的存取時執行任何必要的初始化,例如在停用受信任的存取時,建立任何必要的資源和任何必要的資源清除。

如需如何使用受信任的服務來啟用或停用組織的受信任服務存取的相關資訊,請參閱 AWS 服務 您可以搭配 使用 AWS Organizations支援受信任的存取欄下方的進一步了解連結。

如果您使用「Organizations」主控台、CLI命令或作API業來停用存取權,則會導致發生下列動作:

  • 服務無法再在您組織的帳戶中建立服務連結角色。這意味著服務無法代表您在組織的任何新帳戶上執行操作。服務仍然可以在較舊的帳戶中執行操作,直至服務完成從 AWS Organizations中清除。

  • 除非附加到角色的IAM原則明確允許這些作業,否則服務無法再在組織中的成員帳戶中執行工作。這包括從成員帳戶到管理帳戶,或委派管理員帳戶 (如相關) 的任何資料彙總。

  • 某些服務會偵測到這一點,並清除與整合相關的任何剩餘的資料或資源,而其他服務會停止存取組織,但會保留任何歷史資料和組態,以針對可能的重新啟用整合提供支援。

而使用其他服務的主控台或命令來停用整合,可確保其他服務可以清除僅用於整合所需的任何資源。服務如何清除組織帳戶中的資源取決於該服務。如需詳細資訊,請參閱其他 AWS 服務的文件。

AWS Management Console
啟用受信任的服務存取

  1. 登入 AWS Organizations 主控台。您必須以IAM使用者身分登入、擔任IAM角色,或以 root 使用者身分登入 (不建議) 在組織的管理帳戶中。

  2. 服務頁面,尋找您要啟用的服務的資料列,然後選擇其名稱。

  3. 選擇 Enable trusted access (啟用信任存取)

  4. 在確認對話方塊中,勾選顯示啟用受信任的存取選項,在方塊中輸入 enable,然後選擇啟用受信任存取

  5. 如果您要用存取權,請告知其他 AWS 服務的管理員,他們現在可以啟用其他服務來使用 AWS Organizations。

若要停用受信任的服務存取

  1. 登入 AWS Organizations 主控台。您必須以IAM使用者身分登入、擔任IAM角色,或以 root 使用者身分登入 (不建議) 在組織的管理帳戶中。

  2. 服務頁面,尋找您要停用的服務的資料列,然後選擇其名稱。

  3. 請等候直到其他服務的管理員告知您已停用服務並且已清除資源為止。

  4. 在確認對話方塊中,輸入 disable,然後選擇停用受信任的存取

AWS CLI, AWS API
啟用或停用受信任的服務存取

您可以使用下列 AWS CLI 命令或API作業來啟用或停用受信任的服務存取:

AWS Organizations 和服務連結角色

AWS Organizations 使用IAM服務連結角色,讓信任的服務能夠代表您在組織的成員帳戶中執行工作。設定信任的服務並授權它來與您的組織整合時,該服務可以請求 AWS Organizations 在其成員帳戶中建立服務連結角色。信任的服務會視需要以非同步方式執行此動作,但不一定會同時在組織的所有帳戶中建立。服務連結角色具有預先定義的IAM權限,可讓受信任的服務僅執行該帳戶內的特定工作。一般而言, AWS 會管理所有服務連結角色,這表示您通常無法更改角色或連接的政策。

為了讓它可行,當您在組織中建立帳戶或接受將您的現有帳戶加入組織的邀請時, AWS Organizations 會為該成員帳戶佈建名為 AWSServiceRoleForOrganizations 的服務連結角色。只有 AWS Organizations 服務本身可以擔任此角色。該角色具有允許為其 AWS 服務他角色 AWS Organizations 建立服務連結角色的權限。此服務連結角色會出現在所有組織中。

雖然我們不建議這麼做,如果您的組織只啟用了合併帳單功能,則絕不會使用名為 AWSServiceRoleForOrganizations 的服務連結角色,您可以將其刪除。如果您稍後想要在組織中啟用所有功能,則需要該角色,您必須將它還原。當您開始啟用所有功能的程序時,會發生下列檢查:

  • 對於獲邀加入組織的每個成員帳戶 – 帳戶管理員會收到請求,請求接受啟用所有功能。若要成功同意請求,管理員必須同時擁有 organizations:AcceptHandshake iam:CreateServiceLinkedRole 許可,如果服務連結角色 (AWSServiceRoleForOrganizations) 尚不存在。如果 AWSServiceRoleForOrganizations 角色已存在,管理員只需要 organizations:AcceptHandshake 許可即可接受請求。當系統管理員同意要求時, AWS Organizations 會建立服務連結角色 (如果尚未存在)。

  • 對於在組織中建立的每個成員帳戶 – 帳戶管理員會收到請求,請求重新建立服務連結角色。(成員帳戶的管理員不會收到啟用所有功能的請求,因為管理帳戶 (之前稱為「主帳戶」) 的管理員會被視為建立成員帳戶的擁有者。) 當成員帳戶管理員接受請求時, AWS Organizations 會建立服務連結角色。管理員必須同時擁有 organizations:AcceptHandshake iam:CreateServiceLinkedRole 許可,才能成功接受交握。

在組織中啟用所有功能之後,您不再可以從任何帳戶刪除 AWSServiceRoleForOrganizations 服務連結角色。

重要

AWS Organizations SCPs永遠不會影響服務連結角色。這些角色不受任何SCP限制。