與其他 AWS Organizations 搭配使用 AWS 服務 - AWS Organizations
啟用信任的存取所需的許可停用信任的存取所需的許可如何啟用或停用信任的存取AWS Organizations 和服務連結角色使用 AWSServiceRoleForDeclarativePoliciesEC2Report 服務連結角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

與其他 AWS Organizations 搭配使用 AWS 服務

您可以使用受信任存取來啟用您指定的受支援 AWS 服務,稱為受信任服務,以代表您在組織及其帳戶中執行任務。這包括授予許可給信任的服務,但不會影響使用者或角色的許可。當您啟用存取時,只要需要該IAM角色,信任的服務就可以在組織中的每個帳戶中建立稱為服務連結角色的角色。該角色擁有的許可政策,會允許信任的服務執行該服務文件中所述的任務。這可讓您指定您想要信任的服務代表您在組織的帳戶中維護的設定和組態詳細資訊。受信任的服務只有在需要於帳戶上執行管理動作時,才會建立服務連結角色,而且不一定會在組織的所有帳戶中執行。

重要

我們強烈建議,當 選項可用時,您只能使用信任服務的主控台,或其 AWS CLI 或 API操作對等項目來啟用和停用信任存取。這可讓受信任的服務在啟用受信任的存取時執行任何必要的初始化,例如在停用受信任的存取時,建立任何必要的資源和任何必要的資源清除。

如需如何使用受信任的服務來啟用或停用組織的受信任服務存取的相關資訊,請參閱 AWS 服務 您可以搭配 使用 AWS Organizations支援受信任的存取欄下方的進一步了解連結。

如果您使用 Organizations 主控台、CLI命令或API操作來停用存取,則會發生下列動作:

  • 服務無法再在您組織的帳戶中建立服務連結角色。這意味著服務無法代表您在組織的任何新帳戶上執行操作。服務仍然可以在較舊的帳戶中執行操作,直至服務完成從 AWS Organizations中清除。

  • 服務無法再在組織中的成員帳戶中執行任務,除非連接到您角色IAM的政策明確允許這些操作。這包括從成員帳戶到管理帳戶,或委派管理員帳戶 (如相關) 的任何資料彙總。

  • 某些服務會偵測到這一點,並清除與整合相關的任何剩餘的資料或資源,而其他服務會停止存取組織,但會保留任何歷史資料和組態,以針對可能的重新啟用整合提供支援。

而使用其他服務的主控台或命令來停用整合,可確保其他服務可以清除僅用於整合所需的任何資源。服務如何清除組織帳戶中的資源取決於該服務。如需詳細資訊,請參閱其他 AWS 服務的安全文件。

啟用信任的存取所需的許可

受信任存取需要兩個 服務: AWS Organizations 和受信任服務的許可。若要啟用信任的存取,請選擇以下其中一個案例:

  • 如果您的登入資料同時具有 AWS Organizations 和信任服務的許可,請使用信任服務提供的工具 (主控台或 AWS CLI) 來啟用存取。這可讓服務 AWS Organizations 代表您在 中啟用受信任存取,並建立服務在組織中操作所需的任何資源。

    這些登入資料的最低許可如下:

    • organizations:EnableAWSServiceAccess.您也可以使用 organizations:ServicePrincipal 條件金鑰搭配此操作,來限制這些操作對核准的服務委託人名稱清單所做的請求。如需詳細資訊,請參閱條件索引鍵

    • organizations:ListAWSServiceAccessForOrganization – 如果您使用 AWS Organizations 主控台,則為必要項目。

    • 信任的服務所需的最低許可取決於服務。如需詳細資訊,請參閱信任的服務的文件。

  • 如果一個人擁有 中具有許可的登入資料, AWS Organizations 但其他人擁有信任服務中具有許可的登入資料,請依照下列順序執行這些步驟:

    1. 擁有 中具有許可的登入資料的人員 AWS Organizations 應使用 AWS Organizations 主控台 AWS CLI、 或 AWS SDK來啟用信任服務的信任存取。在執行以下步驟 (步驟 2) 時,這會授予其他服務的許可,以在組織中執行所需的組態。

      最低 AWS Organizations 許可如下:

      • organizations:EnableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization – 只有在您使用 AWS Organizations 主控台時才需要

      如需在 中啟用信任存取的步驟 AWS Organizations,請參閱 如何啟用或停用信任的存取

    2. 擁有信任的服務中許可的憑證的人員,可讓該服務與 AWS Organizations搭配使用。這會指示服務執行任何必要的初始化,例如建立讓信任的服務在組織中操作所需的任何資源。如需詳細資訊,請參閱服務特定指示,位於AWS 服務 您可以搭配 使用 AWS Organizations

停用信任的存取所需的許可

當您不想允許信任的服務在您的組織上或其帳戶上運作,請選擇以下其中一個案例。

重要

停用信任的服務存取不會 防止具有適當的許可的使用者和角色使用該服務。若要完全封鎖使用者和角色存取 AWS 服務,您可以移除授予該存取的IAM許可,也可以在 中使用服務控制政策 (SCPs) AWS Organizations。

您只能套用SCPs到成員帳戶。 SCPs 不適用於 管理帳戶。建議您不要在管理帳戶中執行服務。反之,請在成員帳戶中執行這些項目,您可以在其中使用 來控制安全性SCPs。

  • 如果您在 AWS Organizations 和受信任服務中具有具有許可的登入資料,請使用信任服務可用的工具 (主控台或 AWS CLI) 來停用存取。此服務會藉由移除不再需要的資源,以及代表您停用 AWS Organizations 中服務的信任的存取來進行清理。

    這些登入資料的最低許可如下:

    • organizations:DisableAWSServiceAccess.您也可以使用 organizations:ServicePrincipal 條件金鑰搭配此操作,來限制這些操作對核准的服務委託人名稱清單所做的請求。如需詳細資訊,請參閱條件索引鍵

    • organizations:ListAWSServiceAccessForOrganization – 如果您使用 AWS Organizations 主控台,則為必要項目。

    • 信任的服務所需的最低許可取決於服務。如需詳細資訊,請參閱信任的服務的文件。

  • 如果 中具有許可的登入資料 AWS Organizations 不是信任服務中具有許可的登入資料,請依照下列順序執行這些步驟:

    1. 擁有信任的服務中許可的人員會先使用該服務停用存取。這會指示信任的服務透過移除信任的存取所需的資源來進行清理。如需詳細資訊,請參閱服務特定指示,位於AWS 服務 您可以搭配 使用 AWS Organizations

    2. 具有 許可的人員接著 AWS Organizations 可以使用 AWS Organizations 主控台 AWS CLI或 AWS SDK來停用信任服務的存取。這會從組織及其帳戶移除信任的服務的許可。

      最低 AWS Organizations 許可如下:

      • organizations:DisableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization – 只有在您使用 AWS Organizations 主控台時才需要

      如需在 中停用信任存取的步驟 AWS Organizations,請參閱 如何啟用或停用信任的存取

如何啟用或停用信任的存取

如果您只有 的許可, AWS Organizations 而且想要代表其他服務的管理員啟用或停用對組織的信任存取 AWS ,請使用下列程序。

重要

我們強烈建議,當 選項可用時,您使用信任服務的主控台或其 AWS CLI 或 API操作對等項目來啟用和停用信任存取。這可讓受信任的服務在啟用受信任的存取時執行任何必要的初始化,例如在停用受信任的存取時,建立任何必要的資源和任何必要的資源清除。

如需如何使用受信任的服務來啟用或停用組織的受信任服務存取的相關資訊,請參閱 AWS 服務 您可以搭配 使用 AWS Organizations支援受信任的存取欄下方的進一步了解連結。

如果您使用 Organizations 主控台、CLI命令或API操作來停用存取,則會發生下列動作:

  • 服務無法再在您組織的帳戶中建立服務連結角色。這意味著服務無法代表您在組織的任何新帳戶上執行操作。服務仍然可以在較舊的帳戶中執行操作,直至服務完成從 AWS Organizations中清除。

  • 服務無法再在組織中的成員帳戶中執行任務,除非連接到您角色IAM的政策明確允許這些操作。這包括從成員帳戶到管理帳戶,或委派管理員帳戶 (如相關) 的任何資料彙總。

  • 某些服務會偵測到這一點,並清除與整合相關的任何剩餘的資料或資源,而其他服務會停止存取組織,但會保留任何歷史資料和組態,以針對可能的重新啟用整合提供支援。

而使用其他服務的主控台或命令來停用整合,可確保其他服務可以清除僅用於整合所需的任何資源。服務如何清除組織帳戶中的資源取決於該服務。如需詳細資訊,請參閱其他服務的文件 AWS 。

AWS Management Console
啟用受信任的服務存取

  1. 登入 AWS Organizations 主控台。您必須以IAM使用者身分登入、擔任 IAM角色,或以組織的管理帳戶中的根使用者身分登入 (不建議)。

  2. 服務頁面,尋找您要啟用的服務的資料列,然後選擇其名稱。

  3. 選擇 Enable trusted access (啟用信任存取)

  4. 在確認對話方塊中,勾選顯示啟用受信任的存取選項,在方塊中輸入 enable,然後選擇啟用受信任存取

  5. 如果您要啟用存取,請告訴 AWS 其他服務的管理員,他們現在可以讓其他服務使用 AWS Organizations。

若要停用受信任的服務存取

  1. 登入 AWS Organizations 主控台。您必須以IAM使用者身分登入、擔任 IAM角色,或以組織的管理帳戶中的根使用者身分登入 (不建議)。

  2. 服務頁面,尋找您要停用的服務的資料列,然後選擇其名稱。

  3. 請等候直到其他服務的管理員告知您已停用服務並且已清除資源為止。

  4. 在確認對話方塊中,輸入 disable,然後選擇停用受信任的存取

AWS CLI, AWS API
啟用或停用受信任的服務存取

您可以使用下列 AWS CLI 命令或API操作來啟用或停用信任的服務存取:

AWS Organizations 和服務連結角色

AWS Organizations 使用IAM服務連結角色,讓信任的服務能夠在組織的成員帳戶中代表您執行任務。設定信任的服務並授權它來與您的組織整合時,該服務可以請求 AWS Organizations 在其成員帳戶中建立服務連結角色。信任的服務會視需要以非同步方式執行此動作,但不一定會同時在組織的所有帳戶中建立。服務連結角色具有預先定義的IAM許可,允許受信任的服務只在該帳戶中執行特定任務。一般而言, AWS 會管理所有服務連結角色,這表示您通常無法更改角色或連接的政策。

為了讓它可行,當您在組織中建立帳戶或接受將您的現有帳戶加入組織的邀請時, AWS Organizations 會為該成員帳戶佈建名為 AWSServiceRoleForOrganizations 的服務連結角色。只有 AWS Organizations 服務本身可以擔任此角色。角色具有允許 為其他角色 AWS Organizations 建立服務連結角色的許可 AWS 服務。此服務連結角色會出現在所有組織中。

雖然我們不建議這麼做,如果您的組織只啟用了合併帳單功能,則絕不會使用名為 AWSServiceRoleForOrganizations 的服務連結角色,您可以將其刪除。如果您稍後想要在組織中啟用所有功能,則需要該角色,您必須將它還原。當您開始啟用所有功能的程序時,會發生下列檢查:

  • 對於獲邀加入組織的每個成員帳戶 – 帳戶管理員會收到請求,請求接受啟用所有功能。若要成功同意請求,管理員必須同時擁有 organizations:AcceptHandshake iam:CreateServiceLinkedRole 許可,如果服務連結角色 (AWSServiceRoleForOrganizations) 尚不存在。如果 AWSServiceRoleForOrganizations 角色已存在,管理員只需要 organizations:AcceptHandshake 許可即可接受請求。當管理員同意請求時,如果服務連結角色不存在, 會 AWS Organizations 建立該角色。

  • 對於在組織中建立的每個成員帳戶 – 帳戶管理員會收到請求,請求重新建立服務連結角色。(成員帳戶的管理員不會收到啟用所有功能的請求,因為管理帳戶 (之前稱為「主帳戶」) 的管理員會被視為建立成員帳戶的擁有者。) 當成員帳戶管理員接受請求時, AWS Organizations 會建立服務連結角色。管理員必須同時擁有 organizations:AcceptHandshake iam:CreateServiceLinkedRole 許可,才能成功接受交握。

在組織中啟用所有功能之後,您不再可以從任何帳戶刪除 AWSServiceRoleForOrganizations 服務連結角色。

重要

AWS Organizations SCPs 永遠不會影響服務連結角色。這些角色不受任何SCP限制。

使用 AWSServiceRoleForDeclarativePoliciesEC2Report 服務連結角色

Organizations AWSServiceRoleForDeclarativePoliciesEC2Report使用服務連結角色來描述成員帳戶建立宣告政策報告的帳戶屬性狀態。角色的許可在 中定義AWS 受管政策:DeclarativePoliciesEC2Report