Beispiele für Organizations, die AWS CLI - AWS Command Line Interface

Diese Dokumentation bezieht sich AWS CLI nur auf Version 1 von. Dokumentation zu Version 2 von finden Sie im Benutzerhandbuch für Version 2. AWS CLI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für Organizations, die AWS CLI

Die folgenden Codebeispiele zeigen Ihnen, wie Sie mithilfe von AWS Command Line Interface with Organizations Aktionen ausführen und allgemeine Szenarien implementieren.

Aktionen sind Codeauszüge aus größeren Programmen und müssen im Kontext ausgeführt werden. Während Aktionen Ihnen zeigen, wie Sie einzelne Servicefunktionen aufrufen, können Sie Aktionen im Kontext der zugehörigen Szenarien und serviceübergreifenden Beispiele sehen.

Szenarien sind Codebeispiele, die Ihnen zeigen, wie Sie eine bestimmte Aufgabe ausführen können, indem Sie mehrere Funktionen innerhalb desselben Services aufrufen.

Jedes Beispiel enthält einen Link zu GitHub, wo Sie Anweisungen zum Einrichten und Ausführen des Codes im Kontext finden.

Themen

Aktionen

Das folgende Codebeispiel zeigt die Verwendungaccept-handshake.

AWS CLI

Um einen Handshake von einem anderen Konto anzunehmen

Bill, der Inhaber einer Organisation, hat Juans Account bereits früher eingeladen, seiner Organisation beizutreten. Das folgende Beispiel zeigt, wie Juans Konto den Handschlag akzeptiert und damit der Einladung zustimmt.

aws organizations accept-handshake --handshake-id h-examplehandshakeid111

Die Ausgabe zeigt Folgendes:

{ "Handshake": { "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "RequestedTimestamp": 1481656459.257, "ExpirationTimestamp": 1482952459.257, "Id": "h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "juan@example.com", "Type": "EMAIL" } ], "Resources": [ { "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@amazon.com" }, { "Type": "MASTER_NAME", "Value": "Org Master Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "ALL" } ], "Type": "ORGANIZATION", "Value": "o-exampleorgid" }, { "Type": "EMAIL", "Value": "juan@example.com" } ], "State": "ACCEPTED" } }
  • Einzelheiten zur API finden Sie AcceptHandshakein der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungattach-policy.

AWS CLI

Um eine Richtlinie an ein Root-, OU- oder Konto anzuhängen

Beispiel 1

Das folgende Beispiel zeigt, wie eine Service Control Policy (SCP) an eine Organisationseinheit angehängt wird:

aws organizations attach-policy --policy-id p-examplepolicyid111 --target-id ou-examplerootid111-exampleouid111

Beispiel 2

Das folgende Beispiel zeigt, wie eine Dienststeuerungsrichtlinie direkt an ein Konto angehängt wird:

aws organizations attach-policy --policy-id p-examplepolicyid111 --target-id 333333333333
  • Einzelheiten zur API finden Sie AttachPolicyin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcancel-handshake.

AWS CLI

Um einen Handshake zu stornieren, der von einem anderen Konto gesendet wurde

Bill hat zuvor eine Einladung an Susans Konto gesendet, seiner Organisation beizutreten. Er ändert seine Meinung und beschließt, die Einladung zu stornieren, bevor Susan sie annimmt. Das folgende Beispiel zeigt Bills Stornierung:

aws organizations cancel-handshake --handshake-id h-examplehandshakeid111

Die Ausgabe enthält ein Handshake-Objekt, das anzeigt, dass der Status jetzt CANCELED wie folgt lautet:

{ "Handshake": { "Id": "h-examplehandshakeid111", "State":"CANCELED", "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "susan@example.com", "Type": "EMAIL" } ], "Resources": [ { "Type": "ORGANIZATION", "Value": "o-exampleorgid", "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@example.com" }, { "Type": "MASTER_NAME", "Value": "Master Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "CONSOLIDATED_BILLING" } ] }, { "Type": "EMAIL", "Value": "anika@example.com" }, { "Type": "NOTES", "Value": "This is a request for Susan's account to join Bob's organization." } ], "RequestedTimestamp": 1.47008383521E9, "ExpirationTimestamp": 1.47137983521E9 } }
  • Einzelheiten zur API finden Sie CancelHandshakein der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcreate-account.

AWS CLI

Um ein Mitgliedskonto zu erstellen, das automatisch Teil der Organisation ist

Das folgende Beispiel zeigt, wie Sie ein Mitgliedskonto in einer Organisation erstellen. Das Mitgliedskonto ist mit dem Namen Production Account und der E-Mail-Adresse susan@example.com konfiguriert. Organizations erstellt automatisch eine IAM-Rolle mit dem Standardnamen von, OrganizationAccountAccessRole da der RoleName-Parameter nicht angegeben ist. Außerdem ist die Einstellung, die IAM-Benutzern oder -Rollen mit ausreichenden Berechtigungen den Zugriff auf Kontoabrechnungsdaten ermöglicht, auf den Standardwert ALLOW gesetzt, da der IamUserAccessToBilling Parameter nicht angegeben ist. Organizations sendet Susan automatisch eine „Willkommen bei AWS“ -E-Mail:

aws organizations create-account --email susan@example.com --account-name "Production Account"

Die Ausgabe enthält ein Anforderungsobjekt, aus dem hervorgeht, dass der Status jetzt wie folgt lautetIN_PROGRESS:

{ "CreateAccountStatus": { "State": "IN_PROGRESS", "Id": "car-examplecreateaccountrequestid111" } }

Sie können später den aktuellen Status der Anforderung abfragen, indem Sie den Antwortwert ID für den describe-create-account-status Befehl als Wert für den create-account-request-id Parameter angeben.

Weitere Informationen finden Sie unter Erstellen eines AWS Kontos in Ihrer Organisation im Benutzerhandbuch für AWS Organizations.

  • Einzelheiten zur API finden Sie CreateAccountunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcreate-organization.

AWS CLI

Beispiel 1: Um eine neue Organisation zu erstellen

Bill möchte eine Organisation mit den Anmeldeinformationen des Kontos 111111111111 erstellen. Das folgende Beispiel zeigt, dass das Konto zum Hauptkonto in der neuen Organisation wird. Da er keinen Funktionsumfang angibt, sind in der neuen Organisation standardmäßig alle Funktionen aktiviert, und die Richtlinien zur Dienststeuerung sind im Stammverzeichnis aktiviert.

aws organizations create-organization

Die Ausgabe umfasst ein Organisationsobjekt mit Details zur neuen Organisation:

{ "Organization": { "AvailablePolicyTypes": [ { "Status": "ENABLED", "Type": "SERVICE_CONTROL_POLICY" } ], "MasterAccountId": "111111111111", "MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111", "MasterAccountEmail": "bill@example.com", "FeatureSet": "ALL", "Id": "o-exampleorgid", "Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid" } }

Beispiel 2: Um eine neue Organisation zu erstellen, für die nur konsolidierte Fakturierungsfunktionen aktiviert sind

Im folgenden Beispiel wird eine Organisation erstellt, die nur die Funktionen für die konsolidierte Fakturierung unterstützt:

aws organizations create-organization --feature-set CONSOLIDATED_BILLING

Die Ausgabe enthält ein Organisationsobjekt mit Details zur neuen Organisation:

{ "Organization": { "Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid", "AvailablePolicyTypes": [], "Id": "o-exampleorgid", "MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111", "MasterAccountEmail": "bill@example.com", "MasterAccountId": "111111111111", "FeatureSet": "CONSOLIDATED_BILLING" } }

Weitere Informationen finden Sie unter Creating a Organization im AWS Organizations Users Guide.

Das folgende Codebeispiel zeigt die Verwendungcreate-organizational-unit.

AWS CLI

Um eine Organisationseinheit in einer Stamm- oder übergeordneten Organisationseinheit zu erstellen

Das folgende Beispiel zeigt, wie eine Organisationseinheit mit dem Namen AccountingOU erstellt wird:

aws organizations create-organizational-unit --parent-id r-examplerootid111 --name AccountingOU

Die Ausgabe enthält ein OrganizationalUnit-Objekt mit Details zur neuen Organisationseinheit:

{ "OrganizationalUnit": { "Id": "ou-examplerootid111-exampleouid111", "Arn": "arn:aws:organizations::111111111111:ou/o-exampleorgid/ou-examplerootid111-exampleouid111", "Name": "AccountingOU" } }

Das folgende Codebeispiel zeigt die Verwendungcreate-policy.

AWS CLI

Beispiel 1: Um eine Richtlinie mit einer Textquelldatei für die JSON-Richtlinie zu erstellen

Das folgende Beispiel zeigt Ihnen, wie Sie eine Service Control Policy (SCP) mit dem Namen AllowAllS3Actions erstellen. Der Richtlinieninhalt stammt aus einer Datei auf dem lokalen Computer namenspolicy.json.

aws organizations create-policy --content file://policy.json --name AllowAllS3Actions, --type SERVICE_CONTROL_POLICY --description "Allows delegation of all S3 actions"

Die Ausgabe enthält ein Richtlinienobjekt mit Details zur neuen Richtlinie:

{ "Policy": { "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Action\":[\"s3:*\"],\"Resource\":[\"*\"]}]}", "PolicySummary": { "Arn": "arn:aws:organizations::o-exampleorgid:policy/service_control_policy/p-examplepolicyid111", "Description": "Allows delegation of all S3 actions", "Name": "AllowAllS3Actions", "Type":"SERVICE_CONTROL_POLICY" } } }

Beispiel 2: Um eine Richtlinie mit einer JSON-Richtlinie als Parameter zu erstellen

Das folgende Beispiel zeigt Ihnen, wie Sie dasselbe SCP erstellen, diesmal indem Sie den Richtlinieninhalt als JSON-Zeichenfolge in den Parameter einbetten. Die Zeichenfolge muss mit Backslashes vor den doppelten Anführungszeichen maskiert werden, um sicherzustellen, dass sie im Parameter, der selbst von doppelten Anführungszeichen umgeben ist, als Literale behandelt werden:

aws organizations create-policy --content "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Action\":[\"s3:*\"],\"Resource\":[\"*\"]}]}" --name AllowAllS3Actions --type SERVICE_CONTROL_POLICY --description "Allows delegation of all S3 actions"

Weitere Informationen zum Erstellen und Verwenden von Richtlinien in Ihrer Organisation finden Sie unter Verwaltung von Organisationsrichtlinien im AWS Organizations User Guide.

  • Einzelheiten zur API finden Sie CreatePolicyunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungdecline-handshake.

AWS CLI

Um einen Handshake abzulehnen, der von einem anderen Konto gesendet wurde

Das folgende Beispiel zeigt, dass Susan, eine Administratorin, die Eigentümerin des Kontos 222222222222 ist, eine Einladung ablehnt, Bills Organisation beizutreten. Der DeclineHandshake Vorgang gibt ein Handshake-Objekt zurück, das anzeigt, dass der Status jetzt DECLINED lautet:

aws organizations decline-handshake --handshake-id h-examplehandshakeid111

Die Ausgabe enthält ein Handshake-Objekt, das den neuen Status von anzeigt: DECLINED

{ "Handshake": { "Id": "h-examplehandshakeid111", "State": "DECLINED", "Resources": [ { "Type": "ORGANIZATION", "Value": "o-exampleorgid", "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@example.com" }, { "Type": "MASTER_NAME", "Value": "Master Account" } ] }, { "Type": "EMAIL", "Value": "susan@example.com" }, { "Type": "NOTES", "Value": "This is an invitation to Susan's account to join the Bill's organization." } ], "Parties": [ { "Type": "EMAIL", "Id": "susan@example.com" }, { "Type": "ORGANIZATION", "Id": "o-exampleorgid" } ], "Action": "INVITE", "RequestedTimestamp": 1470684478.687, "ExpirationTimestamp": 1471980478.687, "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111" } }
  • Einzelheiten zur API finden Sie DeclineHandshakein der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungdelete-organization.

AWS CLI

Um eine Organisation zu löschen

Das folgende Beispiel zeigt, wie eine Organisation gelöscht wird. Um diesen Vorgang ausführen zu können, müssen Sie Administrator des Hauptkontos in der Organisation sein. Das Beispiel geht davon aus, dass Sie zuvor alle Mitgliedskonten, Organisationseinheiten und Richtlinien aus der Organisation entfernt haben:

aws organizations delete-organization

Das folgende Codebeispiel zeigt die Verwendungdelete-organizational-unit.

AWS CLI

Um eine Organisationseinheit zu löschen

Im folgenden Beispiel wird gezeigt, wie eine Organisationseinheit gelöscht wird. Das Beispiel geht davon aus, dass Sie zuvor alle Konten und andere Organisationseinheiten aus der Organisationseinheit entfernt haben:

aws organizations delete-organizational-unit --organizational-unit-id ou-examplerootid111-exampleouid111

Das folgende Codebeispiel zeigt die Verwendungdelete-policy.

AWS CLI

Um eine Richtlinie zu löschen

Das folgende Beispiel zeigt, wie eine Richtlinie aus einer Organisation gelöscht wird. Das Beispiel geht davon aus, dass Sie die Richtlinie zuvor von allen Entitäten getrennt haben:

aws organizations delete-policy --policy-id p-examplepolicyid111
  • Einzelheiten zur API finden Sie DeletePolicyin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungdescribe-account.

AWS CLI

Um die Details zu einem Konto abzurufen

Das folgende Beispiel zeigt Ihnen, wie Sie Details zu einem Konto anfordern können:

aws organizations describe-account --account-id 555555555555

Die Ausgabe zeigt ein Kontoobjekt mit den Details zum Konto:

{ "Account": { "Id": "555555555555", "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/555555555555", "Name": "Beta account", "Email": "anika@example.com", "JoinedMethod": "INVITED", "JoinedTimeStamp": 1481756563.134, "Status": "ACTIVE" } }
  • Einzelheiten zur API finden Sie DescribeAccountin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungdescribe-create-account-status.

AWS CLI

Um den neuesten Status einer Anfrage zur Kontoerstellung abzurufen

Das folgende Beispiel zeigt, wie der aktuelle Status einer früheren Anfrage zur Kontoerstellung in einer Organisation abgefragt wird. Die angegebene --request-id stammt aus der Antwort auf den ursprünglichen Aufruf von create-account. Die Anfrage zur Kontoerstellung zeigt anhand des Statusfeldes, dass Organizations die Erstellung des Kontos erfolgreich abgeschlossen haben.

Befehl:

aws organizations describe-create-account-status --create-account-request-id car-examplecreateaccountrequestid111

Ausgabe:

{ "CreateAccountStatus": { "State": "SUCCEEDED", "AccountId": "555555555555", "AccountName": "Beta account", "RequestedTimestamp": 1470684478.687, "CompletedTimestamp": 1470684532.472, "Id": "car-examplecreateaccountrequestid111" } }

Das folgende Codebeispiel zeigt die Verwendungdescribe-handshake.

AWS CLI

Um Informationen über einen Handschlag zu erhalten

Das folgende Beispiel zeigt Ihnen, wie Sie Details zu einem Handschlag anfordern können. Die Handshake-ID stammt entweder aus dem ursprünglichen Anruf an InviteAccountToOrganization oder aus einem Anruf an ListHandshakesForAccount oder: ListHandshakesForOrganization

aws organizations describe-handshake --handshake-id h-examplehandshakeid111

Die Ausgabe enthält ein Handshake-Objekt, das alle Details zum angeforderten Handshake enthält:

{ "Handshake": { "Id": "h-examplehandshakeid111", "State": "OPEN", "Resources": [ { "Type": "ORGANIZATION", "Value": "o-exampleorgid", "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@example.com" }, { "Type": "MASTER_NAME", "Value": "Master Account" } ] }, { "Type": "EMAIL", "Value": "anika@example.com" } ], "Parties": [ { "Type": "ORGANIZATION", "Id": "o-exampleorgid" }, { "Type": "EMAIL", "Id": "anika@example.com" } ], "Action": "INVITE", "RequestedTimestamp": 1470158698.046, "ExpirationTimestamp": 1471454698.046, "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111" } }

Das folgende Codebeispiel zeigt die Verwendungdescribe-organization.

AWS CLI

Um Informationen über die aktuelle Organisation zu erhalten

Das folgende Beispiel zeigt Ihnen, wie Sie Details zu einer Organisation anfordern können:

aws organizations describe-organization

Die Ausgabe umfasst ein Organisationsobjekt mit den Details zur Organisation:

{ "Organization": { "MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111", "MasterAccountEmail": "bill@example.com", "MasterAccountId": "111111111111", "Id": "o-exampleorgid", "FeatureSet": "ALL", "Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid", "AvailablePolicyTypes": [ { "Status": "ENABLED", "Type": "SERVICE_CONTROL_POLICY" } ] } }

Das folgende Codebeispiel zeigt die Verwendungdescribe-organizational-unit.

AWS CLI

Um Informationen über eine Organisationseinheit zu erhalten

Im folgenden describe-organizational-unit Beispiel werden Details zu einer Organisationseinheit abgefragt.

aws organizations describe-organizational-unit \ --organizational-unit-id ou-examplerootid111-exampleouid111

Ausgabe:

{ "OrganizationalUnit": { "Name": "Accounting Group", "Arn": "arn:aws:organizations::123456789012:ou/o-exampleorgid/ou-examplerootid111-exampleouid111", "Id": "ou-examplerootid111-exampleouid111" } }

Das folgende Codebeispiel zeigt die Verwendungdescribe-policy.

AWS CLI

Um Informationen über eine Richtlinie zu erhalten

Das folgende Beispiel zeigt, wie Sie Informationen zu einer Richtlinie anfordern können:

aws organizations describe-policy --policy-id p-examplepolicyid111

Die Ausgabe enthält ein Richtlinienobjekt, das Details zur Richtlinie enthält:

{ "Policy": { "Content": "{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Effect\": \"Allow\",\n \"Action\": \"*\",\n \"Resource\": \"*\"\n }\n ]\n}", "PolicySummary": { "Arn": "arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111", "Type": "SERVICE_CONTROL_POLICY", "Id": "p-examplepolicyid111", "AwsManaged": false, "Name": "AllowAllS3Actions", "Description": "Enables admins to delegate S3 permissions" } } }
  • Einzelheiten zur API finden Sie DescribePolicyin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungdetach-policy.

AWS CLI

Um eine Richtlinie von einem Root-, OU- oder Konto zu trennen

Das folgende Beispiel zeigt, wie eine Richtlinie von einer Organisationseinheit getrennt wird:

aws organizations detach-policy --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111

Das folgende Codebeispiel zeigt die Verwendungdisable-policy-type.

AWS CLI

Um einen Richtlinientyp in einem Root-Verzeichnis zu deaktivieren

Das folgende Beispiel zeigt, wie der Richtlinientyp Service Control Policy (SCP) in einem Root-Verzeichnis deaktiviert wird:

aws organizations disable-policy-type --root-id r-examplerootid111 --policy-type SERVICE_CONTROL_POLICY

Die Ausgabe zeigt, dass das PolicyTypes Antwortelement SERVICE_CONTROL_POLICY nicht mehr enthält:

{ "Root": { "PolicyTypes": [], "Name": "Root", "Id": "r-examplerootid111", "Arn": "arn:aws:organizations::111111111111:root/o-exampleorgid/r-examplerootid111" } }

Das folgende Codebeispiel zeigt die Verwendungenable-all-features.

AWS CLI

Um alle Funktionen in einer Organisation zu aktivieren

Dieses Beispiel zeigt, wie der Administrator alle eingeladenen Konten in der Organisation auffordert, alle aktivierten Funktionen in der Organisation zu genehmigen. AWS Organizations senden eine E-Mail an die Adresse, die für jedes Konto eines eingeladenen Mitglieds registriert ist, und bittet den Inhaber, die Änderung aller Funktionen zu genehmigen, indem er den gesendeten Handschlag akzeptiert. Nachdem alle Konten eingeladener Mitglieder den Handshake akzeptiert haben, kann der Organisationsadministrator die Änderung an allen Funktionen abschließen. Benutzer mit den entsprechenden Berechtigungen können Richtlinien erstellen und diese auf Stammkonten, Organisationseinheiten und Konten anwenden:

aws organizations enable-all-features

Die Ausgabe ist ein Handshake-Objekt, das zur Genehmigung an alle eingeladenen Mitgliedskonten gesendet wird:

{ "Handshake": { "Action": "ENABLE_ALL_FEATURES", "Arn":"arn:aws:organizations::111111111111:handshake/o-exampleorgid/enable_all_features/h-examplehandshakeid111", "ExpirationTimestamp":1.483127868609E9, "Id":"h-examplehandshakeid111", "Parties": [ { "id":"o-exampleorgid", "type":"ORGANIZATION" } ], "requestedTimestamp":1.481831868609E9, "resources": [ { "type":"ORGANIZATION", "value":"o-exampleorgid" } ], "state":"REQUESTED" } }

Das folgende Codebeispiel zeigt die Verwendungenable-policy-type.

AWS CLI

Um die Verwendung eines Richtlinientyps in einem Stammverzeichnis zu aktivieren

Das folgende Beispiel zeigt, wie der Richtlinientyp Service Control Policy (SCP) in einem Stammverzeichnis aktiviert wird:

aws organizations enable-policy-type --root-id r-examplerootid111 --policy-type SERVICE_CONTROL_POLICY

Die Ausgabe zeigt ein Stammobjekt mit einem PolicyTypes-Antwortelement, das anzeigt, dass SCPs jetzt aktiviert sind:

{ "Root": { "PolicyTypes": [ { "Status":"ENABLED", "Type":"SERVICE_CONTROL_POLICY" } ], "Id": "r-examplerootid111", "Name": "Root", "Arn": "arn:aws:organizations::111111111111:root/o-exampleorgid/r-examplerootid111" } }

Das folgende Codebeispiel zeigt die Verwendunginvite-account-to-organization.

AWS CLI

Um ein Konto einzuladen, einer Organisation beizutreten

Das folgende Beispiel zeigt, wie das Hauptkonto bill@example.com das Konto juan@example.com einlädt, einer Organisation beizutreten:

aws organizations invite-account-to-organization --target '{"Type": "EMAIL", "Id": "juan@example.com"}' --notes "This is a request for Juan's account to join Bill's organization."

Die Ausgabe enthält eine Handshake-Struktur, die zeigt, was an das eingeladene Konto gesendet wird:

{ "Handshake": { "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "ExpirationTimestamp": 1482952459.257, "Id": "h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "juan@example.com", "Type": "EMAIL" } ], "RequestedTimestamp": 1481656459.257, "Resources": [ { "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@amazon.com" }, { "Type": "MASTER_NAME", "Value": "Org Master Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "FULL" } ], "Type": "ORGANIZATION", "Value": "o-exampleorgid" }, { "Type": "EMAIL", "Value": "juan@example.com" } ], "State": "OPEN" } }

Das folgende Codebeispiel zeigt die Verwendungleave-organization.

AWS CLI

Um eine Organisation als Mitgliedskonto zu verlassen

Das folgende Beispiel zeigt, wie der Administrator eines Mitgliedskontos darum bittet, die Organisation zu verlassen, der er derzeit angehört:

aws organizations leave-organization

Das folgende Codebeispiel zeigt die Verwendunglist-accounts-for-parent.

AWS CLI

Um eine Liste aller Konten in einem angegebenen übergeordneten Stammverzeichnis oder einer Organisationseinheit abzurufen

Das folgende Beispiel zeigt, wie eine Liste der Konten in einer Organisationseinheit angefordert wird:

aws organizations list-accounts-for-parent --parent-id ou-examplerootid111-exampleouid111

Die Ausgabe enthält eine Liste von Objekten mit einer Kontoübersicht.

{ "Accounts": [ { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/333333333333", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481835795.536, "Id": "333333333333", "Name": "Development Account", "Email": "juan@example.com", "Status": "ACTIVE" }, { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/444444444444", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481835812.143, "Id": "444444444444", "Name": "Test Account", "Email": "anika@example.com", "Status": "ACTIVE" } ] }

Das folgende Codebeispiel zeigt die Verwendunglist-accounts.

AWS CLI

Um eine Liste aller Konten in einer Organisation abzurufen

Das folgende Beispiel zeigt Ihnen, wie Sie eine Liste der Konten in einer Organisation anfordern können:

aws organizations list-accounts

Die Ausgabe enthält eine Liste von Objekten mit einer Kontoübersicht.

{ "Accounts": [ { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481830215.45, "Id": "111111111111", "Name": "Master Account", "Email": "bill@example.com", "Status": "ACTIVE" }, { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/222222222222", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481835741.044, "Id": "222222222222", "Name": "Production Account", "Email": "alice@example.com", "Status": "ACTIVE" }, { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/333333333333", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481835795.536, "Id": "333333333333", "Name": "Development Account", "Email": "juan@example.com", "Status": "ACTIVE" }, { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/444444444444", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481835812.143, "Id": "444444444444", "Name": "Test Account", "Email": "anika@example.com", "Status": "ACTIVE" } ] }
  • Einzelheiten zur API finden Sie ListAccountsin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-children.

AWS CLI

Um die untergeordneten Konten und Organisationseinheiten einer übergeordneten Organisationseinheit oder einer Stammorganisation abzurufen

Im folgenden Beispiel wird gezeigt, wie Sie das Stammkonto oder die Organisationseinheit auflisten, die dieses Konto 4444444444 enthält:

aws organizations list-children --child-type ORGANIZATIONAL_UNIT --parent-id ou-examplerootid111-exampleouid111

Die Ausgabe zeigt die beiden untergeordneten Organisationseinheiten, die in der übergeordneten Organisationseinheit enthalten sind:

{ "Children": [ { "Id": "ou-examplerootid111-exampleouid111", "Type":"ORGANIZATIONAL_UNIT" }, { "Id":"ou-examplerootid111-exampleouid222", "Type":"ORGANIZATIONAL_UNIT" } ] }
  • Einzelheiten zur API finden Sie ListChildrenin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-create-account-status.

AWS CLI

Beispiel 1: Um eine Liste der Anfragen zur Kontoerstellung abzurufen, die in der aktuellen Organisation gestellt wurden

Das folgende Beispiel zeigt, wie Sie eine Liste von Anfragen zur Kontoerstellung für eine Organisation anfordern, die erfolgreich abgeschlossen wurden:

aws organizations list-create-account-status --states SUCCEEDED

Die Ausgabe umfasst eine Reihe von Objekten mit Informationen zu jeder Anfrage.

{ "CreateAccountStatuses": [ { "AccountId": "444444444444", "AccountName": "Developer Test Account", "CompletedTimeStamp": 1481835812.143, "Id": "car-examplecreateaccountrequestid111", "RequestedTimeStamp": 1481829432.531, "State": "SUCCEEDED" } ] }

Beispiel 2: Um eine Liste der laufenden Anfragen zur Kontoerstellung abzurufen, die in der aktuellen Organisation gestellt wurden

Im folgenden Beispiel wird eine Liste der laufenden Anfragen zur Kontoerstellung für eine Organisation abgerufen:

aws organizations list-create-account-status --states IN_PROGRESS

Die Ausgabe umfasst eine Reihe von Objekten mit Informationen zu jeder Anfrage.

{ "CreateAccountStatuses": [ { "State": "IN_PROGRESS", "Id": "car-examplecreateaccountrequestid111", "RequestedTimeStamp": 1481829432.531, "AccountName": "Production Account" } ] }

Das folgende Codebeispiel zeigt die Verwendunglist-handshakes-for-account.

AWS CLI

Um eine Liste der Handshakes abzurufen, die an ein Konto gesendet wurden

Das folgende Beispiel zeigt, wie Sie eine Liste aller Handshakes abrufen können, die dem Konto der Anmeldeinformationen zugeordnet sind, die zum Aufrufen des Vorgangs verwendet wurden:

aws organizations list-handshakes-for-account

Die Ausgabe enthält eine Liste von Handshake-Strukturen mit Informationen zu jedem Handshake, einschließlich seines aktuellen Status:

{ "Handshake": { "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "ExpirationTimestamp": 1482952459.257, "Id": "h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "juan@example.com", "Type": "EMAIL" } ], "RequestedTimestamp": 1481656459.257, "Resources": [ { "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@amazon.com" }, { "Type": "MASTER_NAME", "Value": "Org Master Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "FULL" } ], "Type": "ORGANIZATION", "Value": "o-exampleorgid" }, { "Type": "EMAIL", "Value": "juan@example.com" } ], "State": "OPEN" } }

Das folgende Codebeispiel zeigt die Verwendunglist-handshakes-for-organization.

AWS CLI

Um eine Liste der Handshakes abzurufen, die einer Organisation zugeordnet sind

Das folgende Beispiel zeigt, wie Sie eine Liste von Handshakes abrufen können, die der aktuellen Organisation zugeordnet sind:

aws organizations list-handshakes-for-organization

Die Ausgabe zeigt zwei Handshakes. Die erste ist eine Einladung zu Juans Konto und zeigt den Status OFFEN an. Die zweite ist eine Einladung zu Anikas Konto und zeigt den Status AKZEPTIERT an:

{ "Handshakes": [ { "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "ExpirationTimestamp": 1482952459.257, "Id": "h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "juan@example.com", "Type": "EMAIL" } ], "RequestedTimestamp": 1481656459.257, "Resources": [ { "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@amazon.com" }, { "Type": "MASTER_NAME", "Value": "Org Master Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "FULL" } ], "Type": "ORGANIZATION", "Value": "o-exampleorgid" }, { "Type": "EMAIL", "Value": "juan@example.com" }, { "Type":"NOTES", "Value":"This is an invitation to Juan's account to join Bill's organization." } ], "State": "OPEN" }, { "Action": "INVITE", "State":"ACCEPTED", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "ExpirationTimestamp": 1.471797437427E9, "Id": "h-examplehandshakeid222", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "anika@example.com", "Type": "EMAIL" } ], "RequestedTimestamp": 1.469205437427E9, "Resources": [ { "Resources": [ { "Type":"MASTER_EMAIL", "Value":"bill@example.com" }, { "Type":"MASTER_NAME", "Value":"Master Account" } ], "Type":"ORGANIZATION", "Value":"o-exampleorgid" }, { "Type":"EMAIL", "Value":"anika@example.com" }, { "Type":"NOTES", "Value":"This is an invitation to Anika's account to join Bill's organization." } ] } ] }

Das folgende Codebeispiel zeigt die Verwendunglist-organizational-units-for-parent.

AWS CLI

Um eine Liste der Organisationseinheiten in einer übergeordneten Organisationseinheit oder einem Stammverzeichnis abzurufen

Das folgende Beispiel zeigt Ihnen, wie Sie eine Liste von Organisationseinheiten in einer bestimmten Stammdatenbank abrufen:

aws organizations list-organizational-units-for-parent --parent-id r-examplerootid111

Die Ausgabe zeigt, dass der angegebene Stamm zwei OUs enthält, und es werden Details zu jeder Organisationseinheit angezeigt:

{ "OrganizationalUnits": [ { "Name": "AccountingDepartment", "Arn": "arn:aws:organizations::o-exampleorgid:ou/r-examplerootid111/ou-examplerootid111-exampleouid111" }, { "Name": "ProductionDepartment", "Arn": "arn:aws:organizations::o-exampleorgid:ou/r-examplerootid111/ou-examplerootid111-exampleouid222" } ] }

Das folgende Codebeispiel zeigt die Verwendunglist-parents.

AWS CLI

Um die übergeordneten Organisationseinheiten oder Stammverzeichnisse für ein Konto oder eine untergeordnete Organisationseinheit aufzulisten

Im folgenden Beispiel wird gezeigt, wie Sie die Stamm- oder übergeordnete Organisationseinheit auflisten, die das Konto 444444444444 enthält:

aws organizations list-parents --child-id 444444444444

Die Ausgabe zeigt, dass sich das angegebene Konto in der Organisationseinheit mit der angegebenen ID befindet:

{ "Parents": [ { "Id": "ou-examplerootid111-exampleouid111", "Type": "ORGANIZATIONAL_UNIT" } ] }
  • Einzelheiten zur API finden Sie ListParentsin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-policies-for-target.

AWS CLI

Um eine Liste der SCPs abzurufen, die direkt mit einem Konto verknüpft sind

Das folgende Beispiel zeigt, wie Sie eine Liste aller Service Control Policies (SCPs) abrufen, wie im Filter-Parameter angegeben, die direkt mit einem Konto verknüpft sind:

aws organizations list-policies-for-target --filter SERVICE_CONTROL_POLICY --target-id 444444444444

Die Ausgabe umfasst eine Liste von Richtlinienstrukturen mit zusammenfassenden Informationen zu den Richtlinien. Die Liste enthält keine Richtlinien, die aufgrund der Vererbung von seinem Standort in einer OU-Hierarchie für das Konto gelten:

{ "Policies": [ { "Type": "SERVICE_CONTROL_POLICY", "Name": "AllowAllEC2Actions", "AwsManaged", false, "Id": "p-examplepolicyid222", "Arn": "arn:aws:organizations::o-exampleorgid:policy/service_control_policy/p-examplepolicyid222", "Description": "Enables account admins to delegate permissions for any EC2 actions to users and roles in their accounts." } ] }

Das folgende Codebeispiel zeigt die Verwendunglist-policies.

AWS CLI

Um eine Liste aller Richtlinien in einer Organisation eines bestimmten Typs abzurufen

Das folgende Beispiel zeigt Ihnen, wie Sie eine Liste von SCPs abrufen, wie im Filterparameter angegeben:

aws organizations list-policies --filter SERVICE_CONTROL_POLICY

Die Ausgabe enthält eine Liste von Richtlinien mit zusammenfassenden Informationen:

{ "Policies": [ { "Type": "SERVICE_CONTROL_POLICY", "Name": "AllowAllS3Actions", "AwsManaged": false, "Id": "p-examplepolicyid111", "Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid111", "Description": "Enables account admins to delegate permissions for any S3 actions to users and roles in their accounts." }, { "Type": "SERVICE_CONTROL_POLICY", "Name": "AllowAllEC2Actions", "AwsManaged": false, "Id": "p-examplepolicyid222", "Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid222", "Description": "Enables account admins to delegate permissions for any EC2 actions to users and roles in their accounts." }, { "AwsManaged": true, "Description": "Allows access to every operation", "Type": "SERVICE_CONTROL_POLICY", "Id": "p-FullAWSAccess", "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess", "Name": "FullAWSAccess" } ] }
  • Einzelheiten zur API finden Sie ListPoliciesunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-roots.

AWS CLI

Um eine Liste der Wurzeln in einer Organisation abzurufen

Dieses Beispiel zeigt Ihnen, wie Sie die Stammliste für eine Organisation abrufen können:

aws organizations list-roots

Die Ausgabe enthält eine Liste von Stammstrukturen mit zusammenfassenden Informationen:

{ "Roots": [ { "Name": "Root", "Arn": "arn:aws:organizations::111111111111:root/o-exampleorgid/r-examplerootid111", "Id": "r-examplerootid111", "PolicyTypes": [ { "Status":"ENABLED", "Type":"SERVICE_CONTROL_POLICY" } ] } ] }
  • Einzelheiten zur API finden Sie ListRootsin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-targets-for-policy.

AWS CLI

Um eine Liste der Stammverzeichnisse, Organisationseinheiten und Konten abzurufen, denen eine Richtlinie zugeordnet ist

Das folgende Beispiel zeigt, wie Sie eine Liste der Roots, OUs und Konten abrufen, denen die angegebene Richtlinie zugeordnet ist:

aws organizations list-targets-for-policy --policy-id p-FullAWSAccess

Die Ausgabe umfasst eine Liste von Anhangsobjekten mit zusammenfassenden Informationen zu den Stammverzeichnissen, Organisationseinheiten und Konten, an die die Richtlinie angehängt ist:

{ "Targets": [ { "Arn": "arn:aws:organizations::111111111111:root/o-exampleorgid/r-examplerootid111", "Name": "Root", "TargetId":"r-examplerootid111", "Type":"ROOT" }, { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/333333333333;", "Name": "Developer Test Account", "TargetId": "333333333333", "Type": "ACCOUNT" }, { "Arn":"arn:aws:organizations::111111111111:ou/o-exampleorgid/ou-examplerootid111-exampleouid111", "Name":"Accounting", "TargetId":"ou-examplerootid111-exampleouid111", "Type":"ORGANIZATIONAL_UNIT" } ] }

Das folgende Codebeispiel zeigt die Verwendungmove-account.

AWS CLI

Um ein Konto zwischen Roots oder Organisationseinheiten zu verschieben

Das folgende Beispiel zeigt Ihnen, wie Sie das Hauptkonto in der Organisation vom Stammkonto in eine Organisationseinheit verschieben:

aws organizations move-account --account-id 333333333333 --source-parent-id r-examplerootid111 --destination-parent-id ou-examplerootid111-exampleouid111
  • Einzelheiten zur API finden Sie MoveAccountunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungremove-account-from-organization.

AWS CLI

Um ein Konto als Hauptkonto aus einer Organisation zu entfernen

Das folgende Beispiel zeigt Ihnen, wie Sie ein Konto aus einer Organisation entfernen:

aws organizations remove-account-from-organization --account-id 333333333333

Das folgende Codebeispiel zeigt die Verwendungupdate-organizational-unit.

AWS CLI

Um eine Organisationseinheit umzubenennen

Dieses Beispiel zeigt Ihnen, wie Sie eine Organisationseinheit umbenennen: In diesem Beispiel wird die Organisationseinheit in „AccountingOU“ umbenannt:

aws organizations update-organizational-unit --organizational-unit-id ou-examplerootid111-exampleouid111 --name AccountingOU

Die Ausgabe zeigt den neuen Namen:

{ "OrganizationalUnit": { "Id": "ou-examplerootid111-exampleouid111" "Name": "AccountingOU", "Arn": "arn:aws:organizations::111111111111:ou/o-exampleorgid/ou-examplerootid111-exampleouid111"" } }

Das folgende Codebeispiel zeigt die Verwendungupdate-policy.

AWS CLI

Beispiel 1: Um eine Richtlinie umzubenennen

Das folgende update-policy Beispiel benennt eine Richtlinie um und gibt ihr eine neue Beschreibung.

aws organizations update-policy \ --policy-id p-examplepolicyid111 \ --name Renamed-Policy \ --description "This description replaces the original."

Die Ausgabe zeigt den neuen Namen und die neue Beschreibung.

{ "Policy": { "Content": "{\n \"Version\":\"2012-10-17\",\n \"Statement\":{\n \"Effect\":\"Allow\",\n \"Action\":\"ec2:*\",\n \"Resource\":\"*\"\n }\n}\n", "PolicySummary": { "Id": "p-examplepolicyid111", "AwsManaged": false, "Arn":"arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111", "Description": "This description replaces the original.", "Name": "Renamed-Policy", "Type": "SERVICE_CONTROL_POLICY" } } }

Beispiel 2: Um den JSON-Textinhalt einer Richtlinie zu ersetzen

Das folgende Beispiel zeigt Ihnen, wie Sie den JSON-Text des SCP im vorherigen Beispiel durch eine neue JSON-Richtlinientextzeichenfolge ersetzen, die S3 anstelle von EC2 zulässt:

aws organizations update-policy \ --policy-id p-examplepolicyid111 \ --content "{\"Version\":\"2012-10-17\",\"Statement\":{\"Effect\":\"Allow\",\"Action\":\"s3:*\",\"Resource\":\"*\"}}"

Die Ausgabe zeigt den neuen Inhalt:

{ "Policy": { "Content": "{ \"Version\": \"2012-10-17\", \"Statement\": { \"Effect\": \"Allow\", \"Action\": \"s3:*\", \"Resource\": \"*\" } }", "PolicySummary": { "Arn": "arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111", "AwsManaged": false; "Description": "This description replaces the original.", "Id": "p-examplepolicyid111", "Name": "Renamed-Policy", "Type": "SERVICE_CONTROL_POLICY" } } }
  • Einzelheiten zur API finden Sie UpdatePolicyin der AWS CLI Befehlsreferenz.