Activation de toutes les fonctions de votre organisation - AWS Organizations

Activation de toutes les fonctions de votre organisation

AWS Organizations dispose de deux ensembles de fonctions :

  • Toutes les fonctions : cet ensemble de fonctions est le meilleur moyen de travailler avec AWS Organizations et inclut des fonctions de facturation consolidée. Lorsque vous créez une organisation, toutes les fonctions sont activées par défaut. Lorsque toutes les fonctions sont activées, vous pouvez utiliser les fonctions de gestion de compte avancées disponibles dans AWS Organizations telles que l'intégration aux services AWS supportés et les politiques de gestion de l'organisation.

  • Fonctions de facturation consolidée : toutes les organisations prennent en charge ce sous-ensemble de fonctions, qui fournit des outils de gestion de base que vous pouvez utiliser pour gérer de façon centralisée les comptes de votre organisation.

Si vous créez une organisation avec uniquement les fonctions de facturation consolidée, vous pouvez ultérieurement activer toutes les fonctions. Cette page décrit le processus d'activation de toutes les fonctions.

Avant d'activer toutes les fonctions

Avant de passer d'une organisation qui prend en charge uniquement les fonctions de facturation consolidée à une organisation qui prend en charge toutes les fonctions, notez les points suivants :

  • Lorsque vous lancez le processus d'activation de toutes les fonctions, AWS Organizations envoie une demande à chaque compte membre que vous avez invité à rejoindre votre organisation. Chaque compte invité doit approuver l'activation de toutes les fonctions en acceptant la demande. Ce n'est qu'alors que vous pouvez terminer le processus d'activation de toutes les fonctions dans votre organisation. Si un compte refuse la demande, vous devez supprimer le compte de votre organisation ou renvoyer la demande. La demande doit être acceptée pour que vous puissiez terminer l'activation de toutes les fonctions. Les comptes que vous avez créés à l'aide d'AWS Organizations ne reçoivent pas de demande car ils n'ont pas besoin d'approuver le contrôle supplémentaire.

  • Vous pouvez continuer à inviter des comptes à votre organisation tout en activant toutes les fonctions. Le propriétaire d'un compte invité est informé par l'invitation s'il rejoint une organisation avec la facturation consolidée uniquement ou si toutes les fonctions sont activées.

    • Si vous invitez un compte pendant le processus d'activation de toutes les fonctions, l'invitation indique que l'organisation qu'ils rejoignent a toutes les fonctions activées. Si vous annulez le processus d'activation de toutes les fonctions avant que le compte accepte l'invitation, cette invitation est annulée. Vous devez de nouveau inviter le compte à devenir membre d'une organisation avec uniquement les fonctions de facturation consolidée.

    • Si vous invitez un compte et que l'invitation n'a pas encore été acceptée avant que vous commenciez le processus d'activation de toutes les fonctions, cette invitation est annulée car l'invitation indique que l'organisation a uniquement des fonctions de facturation consolidées. Vous devez de nouveau inviter le compte à devenir membre d'une organisation avec toutes les fonctions activées.

  • Vous pouvez également continuer de créer des comptes dans l'organisation. Ce processus n'est pas affecté par cette modification.

  • AWS Organizations vérifie également que tous les comptes membres ont un rôle lié au service nommé AWSServiceRoleForOrganizations. Ce rôle est obligatoire dans tous les comptes pour que vous puissiez activer toutes les fonctions. Si vous avez supprimé ce rôle dans un compte invité, le fait d'accepter l'invitation à activer toutes les fonctions recrée le rôle. Si vous avez supprimé le rôle d'un compte créé à l'aide d'AWS Organizations, ce compte reçoit une invitation spécifique à recréer ce rôle. Toutes ces invitations doivent être acceptées pour que l'organisation puisse achever le processus d'activation de toutes les fonctions.

  • Étant donné que l'activation de toutes les fonctions permet d'utiliser des politiques de contrôle des services, assurez-vous que vos administrateurs de compte comprennent les effets de l'attachement de politiques de contrôle des services à l'organisation, aux unités d'organisation ou aux comptes. Les politiques de contrôle des services peuvent limiter les actions que les utilisateurs et même les administrateurs peuvent effectuer dans les comptes concernés. Le compte de gestion peut, par exemple, appliquer des politiques de contrôle des services qui peuvent empêcher des comptes membres de quitter l'organisation.

  • Les politiques de contrôle des services n'ont aucun impact sur le compte de gestion. Vous ne pouvez pas limiter les actions des utilisateurs et des rôles du compte de gestion en appliquant des politiques de contrôle des services. Les politiques de contrôle des services ont uniquement un impact sur les comptes membres.

  • La migration depuis les fonctions de facturation consolidée vers toutes les fonctions est à sens unique. Si toutes les fonctions sont activées dans votre organisation, vous ne pouvez pas revenir aux seules fonctions de facturation consolidée.

  • (Non recommandé) Si seules les fonctions de facturation consolidée sont activées dans votre organisation, les administrateurs des comptes membres peuvent choisir de supprimer le rôle lié à un service nommé AWSServiceRoleForOrganizations. Si vous choisissez ultérieurement d'activer toutes les fonctions au sein d'une organisation, ce rôle est requis et est recréé dans tous les comptes dans le cadre de l'acceptation de l'invitation à activer toutes les fonctions. Pour plus d'informations sur la manière dont AWS Organizations utilise ce rôle, consultez AWS Organizations et rôles liés à un service.

Initialisation du processus d'activation de toutes les fonctions

Lorsque vous êtes connecté au compte de gestion de votre organisation, vous pouvez démarrer le processus d'activation de toutes les fonctions. Pour ce faire, exécutez les étapes suivantes.

Autorisations minimales

Pour activer toutes les fonctions de votre organisation, vous devez disposer de l'autorisation suivante :

  • organizations:EnableAllFeatures

  • organizations:DescribeOrganization — requis uniquement si vous utilisez la console Organizations

AWS Management Console

Pour demander à vos comptes membres invités d'accepter d'activer toutes les fonctions dans l'organisation

  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Dans la page Paramètres, choisissez Commencer le processus.

  3. Sur la page Activer toutes les fonctions, confirmez que vous ne pouvez pas revenir aux seules fonctions de facturation consolidée une fois le changement effectué en choisissant Initialiser le processus.

    AWS Organizations envoie une demande d'approbation à chaque compte invité (non créé) de l'organisation pour activer toutes les fonctions de l'organisation. Si vous possédez des comptes créés à l'aide d'AWS Organizations et que l'administrateur du compte membre a supprimé le rôle lié à un service nommé AWSServiceRoleForOrganizations, AWS Organizations envoie à ce compte une demande de recréation du rôle.

    La console affiche la liste Statut d'approbation de la demande pour les comptes invités.

    Astuce

    Pour revenir à cette page plus tard, ouvrez la page Paramètres et, dans la section Demande envoyée le date, choisissez Afficher le statut.

  4. La page Activer toutes les fonctions indique le statut actuel de la demande pour chaque compte de l'organisation. Les comptes ayant accepté la demande ont le statut ACCEPTÉ. Les comptes qui n'ont pas encore accepté affichent le statut OUVERT.

AWS CLI & AWS SDKs

Pour demander à vos comptes membres invités d'accepter d'activer toutes les fonctions dans l'organisation

Vous pouvez utiliser l'une des commandes suivantes pour activer toutes les fonctions dans une organisation :

  • AWS CLI : enable-all-features

    La commande suivante lance le processus d'activation de toutes les fonctions dans l'organisation.

    $ aws organizations enable-all-features { "Handshake": { "Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "REQUESTED", "RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00", "ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-a1b2c3d4e5", "Type": "ORGANIZATION" } ] } }

    La sortie montre les détails du handshake que les comptes membres invités doivent accepter.

  • SDK AWS : EnableAllFeatures

Notes
  • Un compte à rebours de 90 jours commence lorsque la demande est envoyée aux comptes membres. Tous les comptes doivent approuver la demande dans ce délai sinon la demande expire. Dans ce cas, toutes les demandes liées à cette tentative sont annulées et vous devez tout recommencer à partir de l'étape 2.

  • Entre le moment où vous effectuez la demande d'activer toutes les fonctions et celui où tous les comptes l'acceptent ou la demande expire, toutes les invitations en attente pour les autres comptes qui souhaitent rejoindre l'organisation sont automatiquement annulées. Vous ne pouvez pas envoyer de nouvelles invitations tant que le processus d'activation de toutes les fonctions n'est pas terminé.

  • Une fois que vous avez terminé le processus d'activation de toutes les fonctions, vous pouvez de nouveau inviter des comptes à rejoindre l'organisation. Le processus ne change pas, mais toutes les invitations informent les destinataires qu'en acceptant l'invitation, ils sont soumis aux politiques applicables.

Une fois que tous les comptes invités de l'organisation ont approuvé la demande, vous pouvez finaliser le processus et activer toutes les fonctions. Vous pouvez également finaliser immédiatement le processus si votre organisation ne possède aucun compte membre invité. Pour finaliser le processus, continuez de la manière décrite sous Finalisation du processus d'activation de toutes les fonctions.

Approbation de la demande d'activation de toutes les fonctions ou de recréation d'un rôle lié à un service

Lorsque vous êtes connecté à l'un des comptes membres invités de l'organisation, vous pouvez approuver une demande à partir du compte de gestion. Si, à l'origine, votre compte a été invité à rejoindre l'organisation, cette invitation vise à activer toutes les fonctions et inclut implicitement l'approbation de recréer le rôle AWSServiceRoleForOrganizations, si nécessaire. Si, au contraire, votre compte a été créé à l'aide d'AWS Organizations et que vous avez supprimé le rôle lié à un service AWSServiceRoleForOrganizations, vous recevez une invitation visant uniquement à recréer le rôle. Pour ce faire, exécutez les étapes suivantes.

Important

Si vous exécutez les étapes de la procédure suivante, le compte de gestion de l'organisation peut appliquer à votre compte membre des contrôles à base de politiques. Ces contrôles peuvent limiter les actions des utilisateurs dans votre compte et même les vôtres en tant qu'administrateur. De telles restrictions peuvent empêcher votre compte de quitter l'organisation.

Autorisations minimales

Pour approuver une demande d'activation de toutes les fonctions pour votre compte membre, vous devez disposer des autorisations suivantes :

  • organizations:AcceptHandshake

  • organizations:DescribeOrganization — requis uniquement si vous utilisez la console Organizations

  • organizations:ListHandshakesForAccount — requis uniquement si vous utilisez la console Organizations

  • iam:CreateServiceLinkedRole — requis uniquement si le rôle AWSServiceRoleForOrganizations doit être recréé dans le compte membre

AWS Management Console

Pour accepter la demande d'activation de toutes les fonctions de l'organisation

  1. Connectez-vous à la console AWS Organizations via le lien Console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans un compte membre.

  2. Lisez ce qu'implique l'acceptation de la demande d'activer toutes les fonctions dans l'organisation pour votre compte, puis choisissez Accepter. La page continue d'afficher le processus comme incomplet jusqu'à ce que tous les comptes de l'organisation acceptent la demande et que l'administrateur du compte de gestion finalise le processus.

AWS CLI & AWS SDKs

Pour accepter la demande d'activation de toutes les fonctions de l'organisation

Pour accepter la demande, vous devez accepter le handshake avec "Action": "APPROVE_ALL_FEATURES".

  • AWS CLI:

    L'exemple suivant montre comment répertorier les handshakes disponibles pour votre compte. La valeur de "Id" figurant à la quatrième ligne de la sortie est la valeur dont vous avez besoin pour la commande suivante.

    $ aws organizations list-handshakes-for-account { "Handshakes": [ { "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" }, { "Id": "111122223333", "Type": "ACCOUNT" } ], "State": "OPEN", "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00", "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00", "Action": "APPROVE_ALL_FEATURES", "Resources": [ { "Value": "c440da758cab44068cdafc812EXAMPLE", "Type": "PARENT_HANDSHAKE" }, { "Value": "o-aa111bb222", "Type": "ORGANIZATION" }, { "Value": "111122223333", "Type": "ACCOUNT" } ] } ] }

    L'exemple suivant utilise l'ID du handshake de la commande précédente pour accepter celui-ci.

    $ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE { "Handshake": { "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" }, { "Id": "111122223333", "Type": "ACCOUNT" } ], "State": "ACCEPTED", "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00", "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00", "Action": "APPROVE_ALL_FEATURES", "Resources": [ { "Value": "c440da758cab44068cdafc812EXAMPLE", "Type": "PARENT_HANDSHAKE" }, { "Value": "o-aa111bb222", "Type": "ORGANIZATION" }, { "Value": "111122223333", "Type": "ACCOUNT" } ] } }
  • SDK AWS :

Finalisation du processus d'activation de toutes les fonctions

Tous les comptes membres invités doivent approuver la demande d'activer toutes les fonctions. S'il n'y a aucun compte membre invité dans l'organisation, la page Progression de l'activation de toutes les fonctions indique avec une bannière verte que vous pouvez finaliser le processus.

Autorisations minimales

Pour finaliser le processus d'activation de toutes les fonctions pour l'organisation, vous devez disposer de l'autorisation suivante :

  • organizations:AcceptHandshake

  • organizations:ListHandshakesForOrganization

  • organizations:DescribeOrganization — requis uniquement si vous utilisez la console Organizations

AWS Management Console

Pour finaliser le processus d'activation de toutes les fonctions

  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Dans la page Paramètres, si tous les comptes invités acceptent la demande d'activation de toutes les fonctions, une zone verte apparaît en haut de la page pour vous en informer. Dans cette zone verte, choisissez Procéder à la finalisation.

  3. Dans la page Activer toutes les fonctions, choisissez Finaliser, puis, dans la boîte de dialogue de confirmation, choisissez de nouveau Finaliser.

  4. L'organisation a désormais toutes les fonctions activées.

AWS CLI & AWS SDKs

Pour finaliser le processus d'activation de toutes les fonctions

Pour finaliser le processus, vous devez accepter le handshake avec "Action": "ENABLE_ALL_FEATURES".

  • AWS CLI:

    $ aws organizations list-handshakes-for-organization { "Handshakes": [ { "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "OPEN", "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00", "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-aa111bb222", "Type": "ORGANIZATION" } ] } ] }

    L'exemple suivant montre comment répertorier les handshakes disponibles pour l'organisation. La valeur de "Id" figurant à la quatrième ligne de la sortie est la valeur dont vous avez besoin pour la commande suivante.

    $ aws organizations accept-handshake \ --handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE { "Handshake": { "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "ACCEPTED", "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00", "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-aa111bb222", "Type": "ORGANIZATION" } ] } }
  • SDK AWS :

Étapes suivantes :