Aktivieren aller Funktionen in der Organisation

AWS Organizations bietet zwei Feature-sätze:

• All features (Alle Funktionen) – Diese Funktionsgruppe ist die bevorzugte Methode für das Arbeiten mit AWS Organizations. Sie umfasst auch die konsolidierte Fakturierung. Wenn Sie eine Organisation erstellen, werden standardmäßig alle Funktionen aktiviert. Wenn alle Funktionen aktiviert sind, können Sie die in AWS Organizations verfügbaren erweiterten Kontoverwaltungsfunktionen verwenden, z. B. die Integration mit unterstützten AWS-Services und Richtlinien zur Organisationsverwaltung.

• Consolidated billing features (Funktionen der konsolidierten Fakturierung) – Diese Funktionen werden von allen Organisationen unterstützt. Sie stellen grundlegende Verwaltungs-Tools bereit, mit denen Sie die Konten in Ihrer Organisation zentral verwalten können.

Wenn Sie eine Organisation nur mit der konsolidierten Fakturierung erstellen, können Sie auch später noch alle Funktionen aktivieren. Auf dieser Seite wird die Aktivierung aller Funktionen beschrieben.

Bevor Sie alle Funktionen aktivieren

Bevor Sie von einer Organisation, die nur die Funktionen für die konsolidierte Fakturierung unterstützt, zu einer Organisation wechseln, die alle Funktionen unterstützt, beachten Sie Folgendes:

• Beim Starten des Aktivierungsprozesses sendet AWS Organizations eine Anforderung an jedes Mitgliedskonto, das Sie zum Beitritt in die Organisation eingeladen haben. Jedes eingeladene Konto muss durch Annahme der Anforderung die Aktivierung aller Funktionen genehmigen. Nur dann können Sie den Vorgang abschließen und alle Funktionen in Ihrer Organisation aktivieren. Wenn ein Konto die Anforderung ablehnt, müssen Sie das Konto entweder aus Ihrer Organisation entfernen oder die Anforderung erneut senden. Die Anforderung muss angenommen werden, bevor Sie den Vorgang abschließen und alle Funktionen aktivieren können. Konten, die Sie mithilfe von erstellt habenAWS Organizations, erhalten keine Anforderung, weil sie die zusätzliche Kontrolle nicht genehmigen müssen.

• Sie können weiterhin Konten in Ihre Organisation einladen und gleichzeitig alle Funktionen aktivieren. Der Besitzer eines eingeladenen Kontos wird durch die Einladung darüber informiert, ob er einer Organisation beitritt, bei der nur eine konsolidierte Fakturierung vorhanden ist, oder wenn alle Funktionen aktiviert sind.

  • Wenn Sie während des Vorgangs ein Konto einladen, alle Funktionen zu aktivieren, wird in der Einladung angegeben, dass die Organisation, der sie beitreten, alle Funktionen aktiviert hat. Wenn Sie den Vorgang abbrechen, um alle Funktionen zu aktivieren, bevor das Konto die Einladung annimmt, wird diese Einladung abgebrochen. Sie müssen das Konto erneut einladen und einer Organisation nur mit der konsolidierten Fakturierung angehören.

  • Wenn Sie ein Konto einladen und die Einladung noch nicht angenommen wurde, bevor Sie mit dem Aktivieren aller Funktionen beginnen, wird diese Einladung storniert, da in der Einladung angegeben ist, dass die Organisation nur über konsolidierte Fakturierungsfunktionen verfügt. Sie müssen das Konto erneut einladen, Mitglied einer Organisation zu werden, in der alle Funktionen aktiviert sind.

• Sie können auch weiterhin Konten in der Organisation erstellen. Dieser Prozess wird von dieser Änderung nicht beeinflusst.

• AWS Organizations verifizieren außerdem, ob jedes Mitgliedskonto eine servicegebundene Rolle namens AWSServiceRoleForOrganizations hat. Diese Rolle ist in allen Konten obligatorisch, um alle Funktionen zu unterstützen. Wenn Sie die Rolle in einem eingeladenen Konto gelöscht haben und dann die Einladung annehmen, wird die Rolle zur Unterstützung aller Funktionen neu erstellt. Wenn Sie die Rolle in einem Konto gelöscht haben, das mit Hilfe von AWS Organizations angelegt wurde, erhält dieses Konto eine Einladung, diese Rolle neu zu erstellen. Alle Einladungen müssen angenommen werden, damit die Organisation den Prozess der Aktivierung aller Funktionen abschließen kann.

• Da die Aktivierung aller Funktionen die Verwendung von Service-Kontrollrichtlinien (SCPs)ermöglicht, stellen Sie sicher, dass Ihre Kontoadministratoren wissen, welche Auswirkungen die Zuweisung von SCPs zur Organisation, zu Organisationseinheiten oder zu Konten hat. Eine Service-Kontrollrichtlinie kann die Aktionen von Benutzern und sogar Administratoren in betroffenen Konten einschränken. Das Verwaltungskonto kann beispielsweise SCPs anwenden, die verhindern, dass Mitgliedskonten die Organisation verlassen.

• Das Verwaltungskonto bleibt von allen SCPs unberührt. Es ist nicht möglich, mittels SCPs die Aktionen zu beschränken, die Benutzer und Rollen im Verwaltungskonto ausführen können. SCPs wirken sich nur auf Mitgliedskonten aus.

• Die Migration von Funktionen für die konsolidierte Fakturierung in alle Funktionen kann nicht rückgängig gemacht werden. Es ist nicht möglich, eine Organisation, in der alle Funktionen aktiviert sind, auf die Funktionen für die konsolidierte Fakturierung zurückzusetzen.

• (Nicht empfohlen) Wenn in Ihrer Organisation nur die Funktionen der konsolidierten Fakturierung aktiviert sind, können Administratoren von Mitgliedskonten die servicegebundene Rolle mit dem Namen AWSServiceRoleForOrganizations löschen. Wenn Sie später alle Funktionen in einer Organisation aktivieren möchten, ist diese Rolle erforderlich und wird in allen Konten neu erstellt, wenn Sie die Einladung zum Aktivieren aller Funktionen annehmen. Weitere Informationen darüber, wie AWS Organizations diese Rolle nutzt, finden Sie unter AWS Organizations und serviceverknüpfte Rollen.

Beginn des Prozesses zur Aktivierung aller Funktionen

Wenn Sie sich am Verwaltungskonto Ihrer Organisation anmelden, können Sie damit beginnen, alle Funktionen zu aktivieren. Führen Sie dazu die folgenden Schritte aus.

Mindestberechtigungen

Zum Aktivieren aller Funktionen in der Organisation benötigen Sie die folgende Berechtigung:

• organizations:EnableAllFeatures

• organizations:DescribeOrganization – nur erforderlich, wenn Sie die Organizations-Konsole verwenden

AWS Management Console

So bitten Sie die eingeladenen Mitgliedskonten um Zustimmung für die Aktivierung alle Funktionen in der Organisation

1. Melden Sie sich an der AWS Organizations-Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

2. Wählen Sie auf der Seite Einstellungen die Option Vorgang für die Aktivierung aller Features starten.

3. Bestätigen Sie auf der Seite Alle Features aktivieren Ihre Zustimmung, dass Sie nach dem Wechsel nicht nur zu den konsolidierten Fakturierungs-Features zurückkehren können, indem Sie Vorgang für die Aktivierung aller Features starten auswählen.

   AWS Organizations sendet eine Anforderung an jedes eingeladene (nicht jedes erstellte) Konto in der Organisation und bittet um Genehmigung zur Aktivierung aller Funktionen. Wenn Sie Konten haben, die mit AWS Organizations erstellt wurden, und der Administrator des Mitgliedskontos die servicegebundene Rolle mit dem Namen AWSServiceRoleForOrganizations gelöscht hat, sendet AWS Organizations diesem Konto eine Aufforderung, die Rolle neu zu erstellen.

   Die Konsole zeigt die Option Status der Genehmigung für die eingeladenen Konten.

   Tipp

   Um später zu dieser Seite zurückzukehren, öffnen Sie die Seite Einstellungen und wählen Sie im Abschnitt Sendedatum anfordern die Option Status anzeigen.

4. Die Seite Alle Funktionen aktivieren zeigt den aktuellen Anforderungsstatus für jedes Konto in der Organisation. Konten, die der Anfrage zugestimmt haben, weisen den Status AKZEPTIERT auf. Konten, die noch nicht zugestimmt haben, weisen den Status OFFEN auf.

AWS CLI & AWS SDKs

So bitten Sie die eingeladenen Mitgliedskonten um Zustimmung für die Aktivierung alle Funktionen in der Organisation

Sie können einen der folgenden Befehle verwenden, um alle Funktionen in einer Organisation zu aktivieren:

• AWS CLI: enable-all-features

  Mit dem folgenden Befehl wird der Vorgang gestartet, um alle Funktionen in der Organisation zu aktivieren.

  $ aws organizations enable-all-features
  {
      "Handshake": {
          "Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE",
          "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE",
          "Parties": [
              {
                  "Id": "a1b2c3d4e5",
                  "Type": "ORGANIZATION"
              }
          ],
          "State": "REQUESTED",
          "RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00",
          "ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00",
          "Action": "ENABLE_ALL_FEATURES",
          "Resources": [
              {
                  "Value": "o-a1b2c3d4e5",
                  "Type": "ORGANIZATION"
              }
          ]
      }
  }

  Die Ausgabe zeigt die Details des Handshakes, dem die eingeladenen Mitgliedskonten zustimmen müssen.

• AWS-SDKs: EnableAllFeatures

Hinweise

• Mit dem Zeitpunkt des Anforderungsversands an die Mitgliedskonten beginnt ein Countdown von 90 Tagen. Alle Konten müssen die Anforderung innerhalb dieses Zeitraums genehmigen; ansonsten läuft sie ab. Wenn die Anforderung abläuft, werden alle Anforderungen im Zusammenhang mit diesem Versuch storniert und Sie müssen mit Schritt 2 von vorne beginnen.

• Sobald Sie die Aktivierung aller Features beantragt haben, werden alle bestehenden, nicht angenommenen Kontoeinladungen storniert.

• Während der Migration aller Features können Sie weiterhin neue Kontoeinladungen initiieren und neue Konten erstellen.

Nachdem alle eingeladenen Konten in der Organisation ihre Anforderungen genehmigt haben, können Sie den Vorgang abschließen und alle Funktionen aktivieren. Sie können den Prozess auch sofort abschließen, sofern Ihre Organisation keine eingeladenen Mitgliedskonten aufweist. Um den Prozess abzuschließen, fahren Sie mit Abschließen des Prozesses der Aktivierung aller Funktionen fort.

Genehmigung der Anforderung zum Aktivieren aller Funktionen oder zum Neuanlegen der servicegebundenen Rolle

Wenn Sie sich bei einem der eingeladenen Mitgliedskonten der Organisation anmelden, können Sie eine Anfrage über das Verwaltungskonto genehmigen. Wenn Ihr Konto ursprünglich zum Beitritt zur Organisation eingeladen wurde, dann dient die Einladung dazu, alle Funktionen zu aktivieren und beinhaltet implizit die Genehmigung für die Neuerstellung der Rolle AWSServiceRoleForOrganizations, falls erforderlich. Wenn Ihr Konto stattdessen mit AWS Organizations erstellt wurde und Sie die servicegebundene Rolle AWSServiceRoleForOrganizations gelöscht haben, dann erhalten Sie nur eine Einladung zur Neuerstellung der Rolle. Führen Sie dazu die folgenden Schritte aus.

Wichtig

Wenn Sie alle Funktionen aktivieren, kann das Verwaltungskonto in der Organisation richtlinienbasierte Kontrollen auf Ihr Mitgliedskonto anwenden. Diese Steuerelemente können die Aktionen von Benutzern und sogar von Administratoren wie Ihnen im Konto einschränken. Solche Einschränkungen können verhindern, dass Ihr Konto die Organisation verlässt.

Mindestberechtigungen

Zum Genehmigen einer Anforderung für die Aktivierung aller Funktionen für Ihr Mitgliedskonto benötigen Sie die folgende Berechtigung:

• organizations:AcceptHandshake

• organizations:DescribeOrganization – nur erforderlich, wenn Sie die Organizations-Konsole verwenden

• organizations:ListHandshakesForAccount – nur erforderlich, wenn Sie die Organizations-Konsole verwenden

• iam:CreateServiceLinkedRole – Nur erforderlich, wenn die AWSServiceRoleForOrganizations-Rolle im Mitgliedskonto neu erstellt werden muss.

AWS Management Console

So stimmen Sie der Anforderung für die Aktivierung aller Funktionen in der Organisation zu

1. Melden Sie sich bei der AWS Organizations-Konsole unter AWS Organizations-Konsole an. Sie müssen sich im Mitgliedskonto als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

2. Lesen Sie, welche Konsequenzen die Annahme der Anfrage für alle Funktionen in der Organisation für Ihr Konto hat, und klicken Sie dann auf Accept. Die Seite zeigt den Prozess so lange als unvollständig an, bis alle Konten in der Organisation die Anforderungen annehmen und der Administrator des Verwaltungskontos den Prozess abschließt.

AWS CLI & AWS SDKs

So stimmen Sie der Anforderung für die Aktivierung aller Funktionen in der Organisation zu

Wenn Sie der Anforderung zustimmen möchten, müssen Sie den Handshake mit "Action": "APPROVE_ALL_FEATURES" annehmen.

• AWS CLI:

  • accept-handshake

  • list-handshakes-for-account

  Im folgenden Beispiel wird gezeigt, wie Sie die Handshakes für Ihr Konto auflisten. Der Wert von "Id" in der vierten Zeile der Ausgabe ist der Wert, den Sie für den nächsten Befehl benötigen.

  $ aws organizations list-handshakes-for-account
  {
      "Handshakes": [
          {
              "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
              "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
              "Parties": [
                  {
                      "Id": "a1b2c3d4e5",
                      "Type": "ORGANIZATION"
                  },
                  {
                      "Id": "111122223333",
                      "Type": "ACCOUNT"
                  }
              ],
              "State": "OPEN",
              "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
              "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
              "Action": "APPROVE_ALL_FEATURES",
              "Resources": [
                  {
                      "Value": "c440da758cab44068cdafc812EXAMPLE",
                      "Type": "PARENT_HANDSHAKE"
                  },
                  {
                      "Value": "o-aa111bb222",
                      "Type": "ORGANIZATION"
                  },
                  {
                      "Value": "111122223333",
                      "Type": "ACCOUNT"
                  }
              ]
          }
      ]
  }
  

  Im folgenden Beispiel wird die ID des Handshakes aus dem vorherigen Befehl verwendet, um diesen Handshake zu akzeptieren.

  $ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE
  {
      "Handshake": {
          "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
          "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
          "Parties": [
              {
                  "Id": "a1b2c3d4e5",
                  "Type": "ORGANIZATION"
              },
              {
                  "Id": "111122223333",
                  "Type": "ACCOUNT"
              }
          ],
          "State": "ACCEPTED",
          "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
          "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
          "Action": "APPROVE_ALL_FEATURES",
          "Resources": [
              {
                  "Value": "c440da758cab44068cdafc812EXAMPLE",
                  "Type": "PARENT_HANDSHAKE"
              },
              {
                  "Value": "o-aa111bb222",
                  "Type": "ORGANIZATION"
              },
              {
                  "Value": "111122223333",
                  "Type": "ACCOUNT"
              }
          ]
      }
  }

• AWS-SDKs:

  • list-handshakes-for-account

  • AcceptHandshake

Abschließen des Prozesses der Aktivierung aller Funktionen

Alle eingeladenen Mitgliedskonten müssen die Anforderung genehmigen, um alle Funktionen zu aktivieren. Wenn die Organisation keine eingeladen Mitgliedskonten hat, wird auf der Seite Enable all features progress (Alle Funktionen aktivieren – Fortschritt) mit einem grünen Banner signalisiert, dass Sie den Prozess abschließen können.

Mindestberechtigungen

Zum Abschließen des Prozesses der Aktivierung aller Funktionen in der Organisation benötigen Sie die folgende Berechtigung:

• organizations:AcceptHandshake

• organizations:ListHandshakesForOrganization

• organizations:DescribeOrganization – nur erforderlich, wenn Sie die Organizations-Konsole verwenden

AWS Management Console

So schließen Sie den Prozess der Aktivierung aller Funktionen ab

1. Melden Sie sich an der AWS Organizations-Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

2. Wenn auf der Seite Einstellungen alle eingeladenen Konten die Anfrage zum Aktivieren aller Funktionen akzeptieren, wird oben auf der Seite ein grünes Kästchen angezeigt, um Sie zu informieren. Wählen Sie im grünen Feld Zum Abschluss gehen aus.

3. Wählen Sie auf der Seite Alle Funktionen aktivieren die Option Abschließen aus, und wählen Sie dann im Bestätigungsdialogfeld erneut Abschließen aus.

4. Bei der Organisation wurden jetzt alle Funktionen aktiviert.

AWS CLI & AWS SDKs

So schließen Sie den Prozess der Aktivierung aller Funktionen ab

Wenn Sie Prozess abschließen möchten, müssen Sie den Handshake mit "Action": "ENABLE_ALL_FEATURES" annehmen.

• AWS CLI:

  • list-handshakes-for-organization

  • accept-handshake

  $ aws organizations list-handshakes-for-organization
  {
      "Handshakes": [
          {
              "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
              "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
              "Parties": [
                  {
                      "Id": "a1b2c3d4e5",
                      "Type": "ORGANIZATION"
                  }
              ],
              "State": "OPEN",
              "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
              "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
              "Action": "ENABLE_ALL_FEATURES",
              "Resources": [
                  {
                      "Value": "o-aa111bb222",
                      "Type": "ORGANIZATION"
                  }
              ]
          }
      ]
  }

  Im folgenden Beispiel wird gezeigt, wie Sie die Handshakes für die Organisation auflisten. Der Wert von "Id" in der vierten Zeile der Ausgabe ist der Wert, den Sie für den nächsten Befehl benötigen.

  $ aws organizations accept-handshake \
      --handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE
  {
      "Handshake": {
          "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
          "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
          "Parties": [
              {
                  "Id": "a1b2c3d4e5",
                  "Type": "ORGANIZATION"
              }
          ],
          "State": "ACCEPTED",
          "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
          "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
          "Action": "ENABLE_ALL_FEATURES",
          "Resources": [
              {
                  "Value": "o-aa111bb222",
                  "Type": "ORGANIZATION"
              }
          ]
      }
  }

• AWS-SDKs:

  • AcceptHandshake

  • AcceptHandshake

Die nächsten Schritte:

• Aktivieren Sie die zu verwendenden Richtlinientypen. Anschließend können Sie Richtlinien für die Verwaltung der Konten in Ihrer Organisation zuordnen. Weitere Informationen finden Sie unter Verwalten von Richtlinien in AWS Organizations.

• Aktivieren Sie die Integration mit unterstützten Diensten. Weitere Informationen finden Sie unter Verwenden von AWS Organizations mit anderen AWS-Services.