搭配使用 AWS Organizations 與其他 AWS 服務 - AWS Organizations
啟用信任的存取所需的許可停用信任的存取所需的許可如何啟用或停用信任的存取AWS Organizations 和服務連結角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配使用 AWS Organizations 與其他 AWS 服務

您可以使用受信任的存取來啟用您指定的支援的 AWS 服務,稱為信任的服務,以代表您在您的組織及其帳戶中執行任務。這包括授予許可給信任的服務,但不會影響使用者或角色的許可。啟用存取權後,受信任的服務可在需要該角色時,在您組織的每個帳戶中建立一個稱為服務連結角色的 IAM 角色。該角色擁有的許可政策,會允許信任的服務執行該服務文件中所述的任務。這可讓您指定您想要信任的服務代表您在組織的帳戶中維護的設定和組態詳細資訊。受信任的服務只有在需要於帳戶上執行管理動作時,才會建立服務連結角色,而且不一定會在組織的所有帳戶中執行。

重要

我們強烈建議,當該選項可用時,您使用受信任服務的主控台,或其 AWS CLI 或 API 操作等效項,來啟用和停用受信任存取。這可讓受信任的服務在啟用受信任的存取時執行任何必要的初始化,例如在停用受信任的存取時,建立任何必要的資源和任何必要的資源清除。

如需如何使用受信任的服務來啟用或停用組織的受信任服務存取的相關資訊,請參閱 AWS 您可以搭配使用的服務 AWS Organizations支援受信任的存取欄下方的進一步了解連結。

如果您使用 Organizations 主控台、CLI 命令或 API 操作來停用存取權,則會導致發生下列動作:

  • 服務無法再在您組織的帳戶中建立服務連結角色。這意味著服務無法代表您在組織的任何新帳戶上執行操作。服務仍然可以在較舊的帳戶中執行操作,直至服務完成從 AWS Organizations 中清除。

  • 除非附加至您角色的 IAM 政策明確允許這些操作,否則服務無法再在組織的成員帳戶中執行任務。這包括從成員帳戶到管理帳戶,或委派管理員帳戶 (如相關) 的任何資料彙總。

  • 某些服務會偵測到這一點,並清除與整合相關的任何剩餘的資料或資源,而其他服務會停止存取組織,但會保留任何歷史資料和組態,以針對可能的重新啟用整合提供支援。

而使用其他服務的主控台或命令來停用整合,可確保其他服務可以清除僅用於整合所需的任何資源。服務如何清除組織帳戶中的資源取決於該服務。如需詳細資訊,請參閱其他 AWS 服務的安全文件。

啟用信任的存取所需的許可

信任的存取需要兩個服務的許可:AWS Organizations 和信任的服務。若要啟用信任的存取,請選擇以下其中一個案例:

  • 如果您在 AWS Organizations 和信任的服務中擁有許可的憑證,請使用信任的服務中提供的工具 (主控台或 AWS CLI) 來啟用存取。這可讓的服務代表您在 AWS Organizations 中啟用受信任的存取,並建立讓服務在您的組織中運作所需的任何資源。

    這些登入資料的最低許可如下:

    • organizations:EnableAWSServiceAccess.您也可以使用 organizations:ServicePrincipal 條件金鑰搭配此操作,來限制這些操作對核准的服務委託人名稱清單所做的請求。如需更多詳細資訊,請參閱 條件索引鍵

    • organizations:ListAWSServiceAccessForOrganization – 如果您使用 AWS Organizations 主控台則為必要。

    • 信任的服務所需的最低許可取決於服務。如需詳細資訊,請參閱信任的服務的文件。

  • 如果某個人員擁有 AWS Organizations 中許可的憑證,但其他人擁有信任的服務中許可的憑證,請以下列順序執行這些步驟:

    1. 擁有 AWS Organizations 中許可憑證的人員應該使用 AWS Organizations 主控台、AWS CLI 或 AWS SDK 來為信任的服務啟用信任的存取。在執行以下步驟 (步驟 2) 時,這會授予其他服務的許可,以在組織中執行所需的組態。

      最低的 AWS Organizations 許可如下:

      • organizations:EnableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization – 只有在使用 AWS Organizations 主控台時為必要

      如需在 AWS Organizations 中啟用信任的存取的詳細資訊,請參閱如何啟用或停用信任的存取

    2. 擁有信任的服務中許可的憑證的人員,可讓該服務與 AWS Organizations 搭配使用。這會指示服務執行任何必要的初始化,例如建立讓信任的服務在組織中操作所需的任何資源。如需詳細資訊,請參閱服務特定指示,位於AWS 您可以搭配使用的服務 AWS Organizations

停用信任的存取所需的許可

當您不想允許信任的服務在您的組織上或其帳戶上運作,請選擇以下其中一個案例。

重要

停用信任的服務存取不會 防止具有適當的許可的使用者和角色使用該服務。若要完全封鎖使用者和角色存取 AWS 服務,您可以移除授予該存取權的 IAM 許可,或者您可以使用 AWS Organizations 中的服務控制政策 (SCP)

您只能將 SCP 套用至成員帳戶。SCP 不會套用至管理帳戶。建議您不要在管理帳戶中執行服務。而是在成員帳戶中執行,您可以在此使用 SCP 控制安全性。

  • 如果您在 AWS Organizations 和信任的服務中擁有許可的憑證,請使用信任的服務中可用的工具 (主控台或 AWS CLI) 來停用存取。此服務會藉由移除不再需要的資源,以及代表您停用 AWS Organizations 中服務的信任的存取來進行清理。

    這些登入資料的最低許可如下:

    • organizations:DisableAWSServiceAccess.您也可以使用 organizations:ServicePrincipal 條件金鑰搭配此操作,來限制這些操作對核准的服務委託人名稱清單所做的請求。如需更多詳細資訊,請參閱 條件索引鍵

    • organizations:ListAWSServiceAccessForOrganization – 如果您使用 AWS Organizations 主控台則為必要。

    • 信任的服務所需的最低許可取決於服務。如需詳細資訊,請參閱信任的服務的文件。

  • 如果具有 AWS Organizations 中許可的憑證,不是信任的服務中許可的憑證,請以下列順序執行這些步驟:

    1. 擁有信任的服務中許可的人員會先使用該服務停用存取。這會指示信任的服務透過移除信任的存取所需的資源來進行清理。如需詳細資訊,請參閱服務特定指示,位於AWS 您可以搭配使用的服務 AWS Organizations

    2. 然後擁有 AWS Organizations 中許可的人員便可以使用 AWS Organizations 主控台、AWS CLI 或 AWS SDK 來停用信任的服務的存取。這會從組織及其帳戶移除信任的服務的許可。

      最低的 AWS Organizations 許可如下:

      • organizations:DisableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization – 只有在使用 AWS Organizations 主控台時為必要

      如需在 AWS Organizations 中停用信任的存取的詳細資訊,請參閱如何啟用或停用信任的存取

如何啟用或停用信任的存取

如果您僅有 AWS Organizations 的許可,而您想要代表其他 AWS 服務的管理員啟用或停用對您的組織的信任的存取,請使用下列程序。

重要

我們強烈建議,當該選項可用時,您使用受信任服務的主控台,或其 AWS CLI 或 API 操作等效項,來啟用和停用受信任存取。這可讓受信任的服務在啟用受信任的存取時執行任何必要的初始化,例如在停用受信任的存取時,建立任何必要的資源和任何必要的資源清除。

如需如何使用受信任的服務來啟用或停用組織的受信任服務存取的相關資訊,請參閱 AWS 您可以搭配使用的服務 AWS Organizations支援受信任的存取欄下方的進一步了解連結。

如果您使用 Organizations 主控台、CLI 命令或 API 操作來停用存取權,則會導致發生下列動作:

  • 服務無法再在您組織的帳戶中建立服務連結角色。這意味著服務無法代表您在組織的任何新帳戶上執行操作。服務仍然可以在較舊的帳戶中執行操作,直至服務完成從 AWS Organizations 中清除。

  • 除非附加至您角色的 IAM 政策明確允許這些操作,否則服務無法再在組織的成員帳戶中執行任務。這包括從成員帳戶到管理帳戶,或委派管理員帳戶 (如相關) 的任何資料彙總。

  • 某些服務會偵測到這一點,並清除與整合相關的任何剩餘的資料或資源,而其他服務會停止存取組織,但會保留任何歷史資料和組態,以針對可能的重新啟用整合提供支援。

而使用其他服務的主控台或命令來停用整合,可確保其他服務可以清除僅用於整合所需的任何資源。服務如何清除組織帳戶中的資源取決於該服務。如需詳細資訊,請參閱其他 AWS 服務的安全文件。

AWS Management Console
啟用受信任的服務存取

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. 服務頁面,尋找您要啟用的服務的資料列,然後選擇其名稱。

  3. 選擇 Enable trusted access (啟用信任存取)

  4. 在確認對話方塊中,勾選顯示啟用受信任的存取選項,在方塊中輸入 enable,然後選擇啟用受信任存取

  5. 如果您要啟用存取,請告知其他 AWS 服務的管理員,他們現在可以啟用其他服務以與 AWS Organizations 搭配運作。

若要停用受信任的服務存取

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. 服務頁面,尋找您要停用的服務的資料列,然後選擇其名稱。

  3. 請等候直到其他服務的管理員告知您已停用服務並且已清除資源為止。

  4. 在確認對話方塊中,輸入 disable,然後選擇停用受信任的存取

AWS CLI, AWS API
啟用或停用受信任的服務存取

您可以使用以下 AWS CLI 命令或 API 操作,以啟用或停用信任的服務存取:

AWS Organizations 和服務連結角色

AWS Organizations 使用 IAM 服務連結角色來啟用信任的服務,以代表您在組織的成員帳戶中執行任務。設定信任的服務並授權它來與您的組織整合時,該服務可以請求 AWS Organizations 在其成員帳戶中建立服務連結角色。信任的服務會視需要以非同步方式執行此動作,但不一定會同時在組織的所有帳戶中建立。服務連結角色具有預先定義的 IAM 許可,允許受信任的服務僅在該帳戶內執行特定任務。一般而言,AWS 會管理所有服務連結角色,這表示您通常無法更改角色或連接的政策。

為了讓它可行,當您在組織中建立帳戶或接受將您的現有帳戶加入組織的邀請時,AWS Organizations 會為該成員帳戶佈建名為 AWSServiceRoleForOrganizations 的服務連結角色。只有 AWS Organizations 服務本身可擔任此角色。角色擁有的許可允許 AWS Organizations 為其他 AWS 服務建立服務連結角色。此服務連結角色會出現在所有組織中。

雖然我們不建議這麼做,如果您的組織只啟用了合併帳單功能,則絕不會使用名為 AWSServiceRoleForOrganizations 的服務連結角色,您可以將其刪除。如果您稍後想要在組織中啟用所有功能,則需要該角色,您必須將它還原。當您開始啟用所有功能的程序時,會發生下列檢查:

  • 對於獲邀加入組織的每個成員帳戶 – 帳戶管理員會收到請求,請求接受啟用所有功能。若要成功同意請求,管理員必須同時擁有 organizations:AcceptHandshake iam:CreateServiceLinkedRole 許可,如果服務連結角色 (AWSServiceRoleForOrganizations) 尚不存在。如果 AWSServiceRoleForOrganizations 角色已存在,管理員只需要 organizations:AcceptHandshake 許可即可接受請求。當管理員接受請求,AWS Organizations 會建立服務連結角色 (如果尚不存在)。

  • 對於在組織中建立的每個成員帳戶 – 帳戶管理員會收到請求,請求重新建立服務連結角色。(成員帳戶的管理員不會收到啟用所有功能的請求,因為管理帳戶 (之前稱為「主帳戶」) 的管理員會被視為建立成員帳戶的擁有者。) 當成員帳戶管理員接受請求時,AWS Organizations 會建立服務連結角色。管理員必須同時擁有 organizations:AcceptHandshake iam:CreateServiceLinkedRole 許可,才能成功接受交握。

在組織中啟用所有功能之後,您不再可以從任何帳戶刪除 AWSServiceRoleForOrganizations 服務連結角色。

重要

AWS Organizations SCP 永遠不會影響服務連結角色。這些角色不受任何 SCP 的限制。