Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activation de toutes les fonctions de votre organisation
AWS Organizations dispose de deux ensembles de fonctions :
-
Toutes les fonctions : cet ensemble de fonctions est le meilleur moyen de travailler avec AWS Organizations et inclut des fonctions de facturation consolidée. Lorsque vous créez une organisation, toutes les fonctions sont activées par défaut. Lorsque toutes les fonctions sont activées, vous pouvez utiliser les fonctions de gestion de compte avancées disponibles dans AWS Organizations telles que l'intégration aux services AWS supportés et les politiques de gestion de l'organisation.
-
Fonctions de facturation consolidée : toutes les organisations prennent en charge ce sous-ensemble de fonctions, qui fournit des outils de gestion de base que vous pouvez utiliser pour gérer de façon centralisée les comptes de votre organisation.
Si vous créez une organisation avec uniquement les fonctions de facturation consolidée, vous pouvez ultérieurement activer toutes les fonctions. Cette page décrit le processus d'activation de toutes les fonctions.
Avant d'activer toutes les fonctions
Avant de passer d'une organisation qui prend en charge uniquement les fonctions de facturation consolidée à une organisation qui prend en charge toutes les fonctions, notez les points suivants :
-
Lorsque vous lancez le processus d'activation de toutes les fonctions, AWS Organizations envoie une demande à chaque compte membre que vous avez invité à rejoindre votre organisation. Chaque compte invité doit approuver l'activation de toutes les fonctions en acceptant la demande. Ce n'est qu'alors que vous pouvez terminer le processus d'activation de toutes les fonctions dans votre organisation. Si un compte refuse la demande, vous devez supprimer le compte de votre organisation ou renvoyer la demande. La demande doit être acceptée pour que vous puissiez terminer l'activation de toutes les fonctions. Les comptes que vous avez créés à l'aide d'AWS Organizations ne reçoivent pas de demande car ils n'ont pas besoin d'approuver le contrôle supplémentaire.
-
Vous pouvez continuer à inviter des comptes à votre organisation tout en activant toutes les fonctions. Le propriétaire d'un compte invité est informé par l'invitation s'il rejoint une organisation avec la facturation consolidée uniquement ou si toutes les fonctions sont activées.
-
Si vous invitez un compte pendant le processus d'activation de toutes les fonctions, l'invitation indique que l'organisation qu'ils rejoignent a toutes les fonctions activées. Si vous annulez le processus d'activation de toutes les fonctions avant que le compte accepte l'invitation, cette invitation est annulée. Vous devez de nouveau inviter le compte à devenir membre d'une organisation avec uniquement les fonctions de facturation consolidée.
-
Si vous invitez un compte et que l'invitation n'a pas encore été acceptée avant que vous commenciez le processus d'activation de toutes les fonctions, cette invitation est annulée car l'invitation indique que l'organisation a uniquement des fonctions de facturation consolidées. Vous devez de nouveau inviter le compte à devenir membre d'une organisation avec toutes les fonctions activées.
-
-
Vous pouvez également continuer de créer des comptes dans l'organisation. Ce processus n'est pas affecté par cette modification.
-
AWS Organizations vérifie également que tous les comptes membres ont un rôle lié au service nommé
AWSServiceRoleForOrganizations
. Ce rôle est obligatoire dans tous les comptes pour que vous puissiez activer toutes les fonctions. Si vous avez supprimé ce rôle dans un compte invité, le fait d'accepter l'invitation à activer toutes les fonctions recrée le rôle. Si vous avez supprimé le rôle d'un compte créé à l'aide d'AWS Organizations, ce compte reçoit une invitation spécifique à recréer ce rôle. Toutes ces invitations doivent être acceptées pour que l'organisation puisse achever le processus d'activation de toutes les fonctions. -
Étant donné que l'activation de toutes les fonctions permet d'utiliser des politiques de contrôle des services, assurez-vous que vos administrateurs de compte comprennent les effets de l'attachement de politiques de contrôle des services à l'organisation, aux unités d'organisation ou aux comptes. Les politiques de contrôle des services peuvent limiter les actions que les utilisateurs et même les administrateurs peuvent effectuer dans les comptes concernés. Le compte de gestion peut, par exemple, appliquer des politiques de contrôle des services qui peuvent empêcher des comptes membres de quitter l'organisation.
-
Les politiques de contrôle des services n'ont aucun impact sur le compte de gestion. Vous ne pouvez pas limiter les actions des utilisateurs et des rôles du compte de gestion en appliquant des politiques de contrôle des services. Les politiques de contrôle des services ont uniquement un impact sur les comptes membres.
-
La migration depuis les fonctions de facturation consolidée vers toutes les fonctions est à sens unique. Si toutes les fonctions sont activées dans votre organisation, vous ne pouvez pas revenir aux seules fonctions de facturation consolidée.
-
(Non recommandé) Si seules les fonctions de facturation consolidée sont activées dans votre organisation, les administrateurs des comptes membres peuvent choisir de supprimer le rôle lié à un service nommé
AWSServiceRoleForOrganizations
. Si vous choisissez ultérieurement d'activer toutes les fonctions au sein d'une organisation, ce rôle est requis et est recréé dans tous les comptes dans le cadre de l'acceptation de l'invitation à activer toutes les fonctions. Pour plus d'informations sur la manière dont AWS Organizations utilise ce rôle, consultez AWS Organizations et rôles liés à un service.
Initialisation du processus d'activation de toutes les fonctions
Lorsque vous êtes connecté au compte de gestion de votre organisation, vous pouvez démarrer le processus d'activation de toutes les fonctions. Pour ce faire, exécutez les étapes suivantes.
Autorisations minimales
Pour activer toutes les fonctions de votre organisation, vous devez disposer de l'autorisation suivante :
-
organizations:EnableAllFeatures
-
organizations:DescribeOrganization
— requis uniquement si vous utilisez la console Organizations
Remarques
-
Un compte à rebours de 90 jours commence lorsque la demande est envoyée aux comptes membres. Tous les comptes doivent approuver la demande dans ce délai sinon la demande expire. Dans ce cas, toutes les demandes liées à cette tentative sont annulées et vous devez tout recommencer à partir de l'étape 2.
-
Après que vous ayez demandé l'activation de toutes les fonctionnalités, toutes les invitations de compte en attente sont annulées.
-
Vous pouvez toujours envoyer des invitations et créer des comptes pendant le processus de migration des fonctionnalités.
Une fois que tous les comptes invités de l'organisation ont approuvé la demande, vous pouvez finaliser le processus et activer toutes les fonctions. Vous pouvez également finaliser immédiatement le processus si votre organisation ne possède aucun compte membre invité. Pour finaliser le processus, continuez de la manière décrite sous Finalisation du processus d'activation de toutes les fonctions.
Approbation de la demande d'activation de toutes les fonctions ou de recréation d'un rôle lié à un service
Lorsque vous êtes connecté à l'un des comptes membres invités de l'organisation, vous pouvez approuver une demande à partir du compte de gestion. Si, à l'origine, votre compte a été invité à rejoindre l'organisation, cette invitation vise à activer toutes les fonctions et inclut implicitement l'approbation de recréer le rôle AWSServiceRoleForOrganizations
, si nécessaire. Si, au contraire, votre compte a été créé à l'aide d'AWS Organizations et que vous avez supprimé le rôle lié à un service AWSServiceRoleForOrganizations
, vous recevez une invitation visant uniquement à recréer le rôle. Pour ce faire, exécutez les étapes suivantes.
Important
Si vous activez toutes les fonctionnalités, le compte de gestion de l'organisation peut appliquer à votre compte membre des contrôles basés sur des politiques. Ces contrôles peuvent limiter les actions des utilisateurs dans votre compte et même les vôtres en tant qu'administrateur. De telles restrictions peuvent empêcher votre compte de quitter l'organisation.
Autorisations minimales
Pour approuver une demande d'activation de toutes les fonctions pour votre compte membre, vous devez disposer des autorisations suivantes :
-
organizations:AcceptHandshake
-
organizations:DescribeOrganization
— requis uniquement si vous utilisez la console Organizations -
organizations:ListHandshakesForAccount
— requis uniquement si vous utilisez la console Organizations -
iam:CreateServiceLinkedRole
— requis uniquement si le rôleAWSServiceRoleForOrganizations
doit être recréé dans le compte membre
Finalisation du processus d'activation de toutes les fonctions
Tous les comptes membres invités doivent approuver la demande d'activer toutes les fonctions. S'il n'y a aucun compte membre invité dans l'organisation, la page Progression de l'activation de toutes les fonctions indique avec une bannière verte que vous pouvez finaliser le processus.
Autorisations minimales
Pour finaliser le processus d'activation de toutes les fonctions pour l'organisation, vous devez disposer de l'autorisation suivante :
-
organizations:AcceptHandshake
-
organizations:ListHandshakesForOrganization
-
organizations:DescribeOrganization
— requis uniquement si vous utilisez la console Organizations
Étapes suivantes :
-
Activez les types de politiques que vous souhaitez utiliser. Ensuite, vous pouvez attacher des politiques pour gérer les comptes de votre organisation. Pour de plus amples informations, consultez Gestion des politiques dans AWS Organizations.
-
Activez l'intégration aux services supportés Pour de plus amples informations, veuillez consulter Utilisation d'AWS Organizations avec d'autres services AWS.