Menggunakan AWS Organizations dengan layanan AWS lainnya

Anda dapat menggunakan akses terpercaya untuk mengaktifkan layanan AWS yang Anda tentukan, yang disebut Layanan terpercaya, untuk melakukan tugas di organisasi Anda dan akunnya atas nama Anda. Ini melibatkan pemberian izin ke layanan tepercaya tetapi tidak memengaruhi izin untuk pengguna atau peran. Bila Anda mengaktifkan akses, layanan terpercaya dapat membuat IAM role yang disebut Peran yang terhubung dengan layanan di setiap akun di organisasi Anda kapan pun peran tersebut diperlukan. Peran tersebut memiliki kebijakan izin yang memungkinkan layanan terpercaya untuk melakukan tugas-tugas yang dijelaskan dalam layanan dokumentasi. Hal ini memungkinkan Anda untuk menentukan pengaturan dan rincian konfigurasi yang Anda ingin layanan terpercaya tersebut untuk mempertahankan akun organisasi Anda atas nama Anda. Layanan terpercaya hanya menciptakan peran terkait layanan ketika diperlukan untuk melakukan tindakan pengelolaan pada akun, dan tidak harus di semua akun organisasi.

penting

Kami sangat menyarankan bahwa, ketika opsi tersedia, Anda mengaktifkan dan menonaktifkan akses tepercaya dengan hanya menggunakan konsol layanan tepercaya, atau setara operasi API AWS CLI atau API. Hal ini memungkinkan layanan terpercaya melakukan inisialisasi yang diperlukan ketika mengaktifkan akses terpercaya, seperti membuat sumber daya yang diperlukan dan setiap pembersihan sumber daya yang diperlukan ketika menonaktifkan akses terpercaya.

Untuk informasi tentang cara mengaktifkan atau menonaktifkan akses layanan terpercaya ke organisasi Anda menggunakan layanan terpercaya, lihat Pelajari selengkapnya tautan di bawah kolom Mendukung Akses Tepercaya di AWS Layanan yang dapat Anda gunakan dengan AWS Organizations.

Jika Anda menonaktifkan akses dengan menggunakan konsol Organizations, perintah CLI, atau operasi API, hal ini menyebabkan tindakan berikut terjadi:

• Layanan tidak lagi dapat membuat peran yang terkait dengan layanan dalam akun di organisasi Anda. Ini berarti bahwa layanan tersebut tidak dapat menjalankan operasi atas nama Anda pada akun baru apa pun di organisasi Anda. Layanan masih dapat melakukan operasi di akun lama sampai layanan menyelesaikan pembersihannya dari AWS Organizations.

• Layanan tidak lagi dapat melakukan tugas di akun anggota dalam organisasi, kecuali operasi tersebut secara eksplisit diizinkan oleh kebijakan IAM yang dilampirkan pada peran Anda. Ini mencakup agregasi data apa pun dari akun anggota ke akun manajemen, atau ke sebuah akun administrator yang didelegasikan, jika relevan.

• Beberapa layanan mendeteksi ini dan membersihkan data atau sumber daya yang tersisa yang terkait dengan integrasi, sementara layanan lain berhenti mengakses organisasi tetapi meninggalkan data riwayat dan konfigurasi apa pun di tempat untuk mendukung kemungkinan pengaktifan kembali integrasi.

Sebaliknya, menggunakan konsol layanan lain atau perintah untuk menonaktifkan integrasi memastikan bahwa layanan lain dapat membersihkan sumber daya yang diperlukan hanya untuk integrasi. Bagaimana layanan membersihkan sumber daya dalam akun organisasi tergantung pada layanan tersebut. Untuk informasi lebih lanjut, lihat dokumentasi untuk layanan AWS lain.

Izin yang diperlukan untuk mengaktifkan akses terpercaya

Akses terpercaya memerlukan izin untuk dua layanan: AWS Organizations dan layanan terpercaya. Untuk mengaktifkan akses terpercaya, pilih salah satu skenario berikut ini:

• Jika Anda memiliki kredensial dengan izin di kedua AWS Organizations dan layanan terpercaya, aktifkan akses dengan menggunakan alat (konsol atau AWS CLI) yang disediakan oleh layanan terpercaya. Hal ini memungkinkan layanan untuk mengaktifkan akses terpercaya di AWS Organizations atas nama Anda dan untuk membuat sumber daya apa pun yang diperlukan agar layanan dapat beroperasi di organisasi Anda.

  Izin minimum untuk kredensial ini adalah sebagai berikut:

  • organizations:EnableAWSServiceAccess. Anda juga dapat menggunakan kunci kondisi organizations:ServicePrincipal dengan operasi ini untuk membatasi permintaan yang operasi tersebut membuat daftar nama utama layanan disetujui. Untuk informasi lebih lanjut, lihat Kunci syarat.

  • organizations:ListAWSServiceAccessForOrganization — Yang diperlukan jika Anda menggunakan konsol AWS Organizations.

  • Izin minimum yang diperlukan oleh layanan terpercaya tergantung pada layanan. Untuk informasi lebih lanjut, lihat dokumentasi layanan terpercaya.

• Jika satu orang memiliki kredensial dengan izin di AWS Organizations tetapi orang lain memiliki mandat dengan izin di layanan terpercaya, lakukan langkah-langkah berikut dalam urutan berikut:

  1. Orang yang memiliki mandat dengan izin di AWS Organizations harus menggunakan konsol AWS Organizations, AWS CLI, atau SDK AWS untuk mengaktifkan akses terpercaya untuk layanan terpercaya. Ini memberikan izin ke layanan lain untuk melakukan konfigurasi yang diperlukan dalam organisasi ketika langkah berikut (langkah 2) dilakukan.

     Izin AWS Organizations minimum adalah sebagai berikut:

     • organizations:EnableAWSServiceAccess

     • organizations:ListAWSServiceAccessForOrganization — Yang diperlukan hanya jika Anda menggunakan konsol AWS Organizations

     Untuk langkah-langkah untuk mengaktifkan akses terpercaya di AWS Organizations, lihat Bagaimana mengaktifkan atau menonaktifkan akses terpercaya.

  2. Orang yang memiliki mandat dengan izin dalam layanan terpercaya memungkinkan bahwa layanan untuk bekerja dengan AWS Organizations. Ini menginstruksikan layanan untuk melakukan inisialisasi yang diperlukan, seperti membuat sumber daya yang diperlukan untuk layanan terpercaya untuk beroperasi dalam organisasi. Untuk informasi lebih lanjut, lihat instruksi khusus layanan di AWS Layanan yang dapat Anda gunakan dengan AWS Organizations.

Izin yang diperlukan untuk menonaktifkan akses terpercaya

Bila Anda tidak lagi ingin mengizinkan layanan terpercaya beroperasi pada organisasi Anda atau akunnya, pilih salah satu skenario berikut ini.

penting

Menonaktifkan akses layanan terpercaya tidak mencegah pengguna dan peran dengan izin yang sesuai dari penggunaan layanan tersebut. Untuk sepenuhnya memblokir pengguna dan peran dari mengakses AWS layanan, Anda dapat menghapus izin IAM yang memberikan akses tersebut, atau Anda dapat menggunakan kebijakan kontrol layanan (SCP) di. AWS Organizations

Anda dapat menerapkan SCP hanya ke akun anggota. SCP tidak berlaku untuk akun manajemen. Kami menyarankan Anda untuk tidak menjalankan layanan di akun manajemen. Sebagai gantinya, jalankan di akun anggota tempat Anda dapat mengontrol keamanan dengan menggunakan SCP.

• Jika Anda memiliki kredensial dengan izin di kedua AWS Organizations dan layanan terpercaya, nonaktifkan akses dengan menggunakan alat (konsol atau AWS CLI) yang disediakan oleh layanan terpercaya. Layanan kemudian membersihkan dengan menghapus sumber daya yang tidak lagi diperlukan dan dengan menonaktifkan akses terpercaya untuk layanan di AWS Organizations atas nama Anda.

  Izin minimum untuk kredensial ini adalah sebagai berikut:

  • organizations:DisableAWSServiceAccess. Anda juga dapat menggunakan kunci kondisi organizations:ServicePrincipal dengan operasi ini untuk membatasi permintaan yang operasi tersebut membuat daftar nama utama layanan disetujui. Untuk informasi lebih lanjut, lihat Kunci syarat.

  • organizations:ListAWSServiceAccessForOrganization — Yang diperlukan jika Anda menggunakan konsol AWS Organizations.

  • Izin minimum yang diperlukan oleh layanan terpercaya tergantung pada layanan. Untuk informasi lebih lanjut, lihat dokumentasi layanan terpercaya.

• Jika kredensials dengan izin di AWS Organizations bukan kredensial dengan izin di layanan terpercaya, lakukan langkah-langkah berikut dalam urutan sebagai berikut:

  1. Orang dengan izin di layanan terpercaya pertama menonaktifkan akses menggunakan layanan tersebut. Ini menginstruksikan layanan terpercaya untuk membersihkan dengan menghapus sumber daya yang diperlukan untuk akses terpercaya. Untuk informasi lebih lanjut, lihat instruksi khusus layanan di AWS Layanan yang dapat Anda gunakan dengan AWS Organizations.

  2. Orang dengan izin di AWS Organizations kemudian dapat menggunakan konsol AWS Organizations, AWS CLI, atau SDK AWS untuk menonaktifkan akses untuk layanan terpercaya. Ini akan menghapus izin untuk layanan terpercaya dari organisasi dan akunnya.

     Izin AWS Organizations minimum adalah sebagai berikut:

     • organizations:DisableAWSServiceAccess

     • organizations:ListAWSServiceAccessForOrganization — Yang diperlukan hanya jika Anda menggunakan konsol AWS Organizations

     Untuk langkah-langkah untuk menonaktifkan akses terpercaya di AWS Organizations, lihat Bagaimana mengaktifkan atau menonaktifkan akses terpercaya.

Bagaimana mengaktifkan atau menonaktifkan akses terpercaya

Jika Anda memiliki izin hanya untuk AWS Organizations dan Anda ingin mengaktifkan atau menonaktifkan akses terpercaya ke organisasi Anda atas nama administrator layanan AWS, gunakan prosedur berikut.

penting

Kami sangat menyarankan bahwa, ketika opsi tersedia, Anda mengaktifkan dan menonaktifkan akses tepercaya dengan hanya menggunakan konsol layanan tepercaya, atau setara operasi API AWS CLI atau API. Hal ini memungkinkan layanan terpercaya melakukan inisialisasi yang diperlukan ketika mengaktifkan akses terpercaya, seperti membuat sumber daya yang diperlukan dan setiap pembersihan sumber daya yang diperlukan ketika menonaktifkan akses terpercaya.

Untuk informasi tentang cara mengaktifkan atau menonaktifkan akses layanan terpercaya ke organisasi Anda menggunakan layanan terpercaya, lihat Pelajari selengkapnya tautan di bawah kolom Mendukung Akses Tepercaya di AWS Layanan yang dapat Anda gunakan dengan AWS Organizations.

Jika Anda menonaktifkan akses dengan menggunakan konsol Organizations, perintah CLI, atau operasi API, hal ini menyebabkan tindakan berikut terjadi:

• Layanan tidak lagi dapat membuat peran yang terkait dengan layanan dalam akun di organisasi Anda. Ini berarti bahwa layanan tersebut tidak dapat menjalankan operasi atas nama Anda pada akun baru apa pun di organisasi Anda. Layanan masih dapat melakukan operasi di akun lama sampai layanan menyelesaikan pembersihannya dari AWS Organizations.

• Layanan tidak lagi dapat melakukan tugas di akun anggota dalam organisasi, kecuali operasi tersebut secara eksplisit diizinkan oleh kebijakan IAM yang dilampirkan pada peran Anda. Ini mencakup agregasi data apa pun dari akun anggota ke akun manajemen, atau ke sebuah akun administrator yang didelegasikan, jika relevan.

• Beberapa layanan mendeteksi ini dan membersihkan data atau sumber daya yang tersisa yang terkait dengan integrasi, sementara layanan lain berhenti mengakses organisasi tetapi meninggalkan data riwayat dan konfigurasi apa pun di tempat untuk mendukung kemungkinan pengaktifan kembali integrasi.

Sebaliknya, menggunakan konsol layanan lain atau perintah untuk menonaktifkan integrasi memastikan bahwa layanan lain dapat membersihkan sumber daya yang diperlukan hanya untuk integrasi. Bagaimana layanan membersihkan sumber daya dalam akun organisasi tergantung pada layanan tersebut. Untuk informasi lebih lanjut, lihat dokumentasi untuk layanan AWS lain.

AWS Management Console

Bagaimana mengaktifkan akses layanan terpercaya

1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

2. Pada halaman Layanan, temukan baris untuk layanan yang ingin Anda aktifkan, dan pilih namanya.

3. Pilih Aktifkan akses terpercaya.

4. Di kotak dialog konfirmasi, centang kotak untuk Menampilkan opsi untuk mengaktifkan akses terpercaya, masukkan enable dalam kotak, dan kemudian pilih Aktifkan akses terpercaya.

5. Jika Anda mengaktifkan akses, beritahu administrator layanan AWS yang lain bahwa mereka sekarang dapat mengaktifkan layanan lain untuk bekerja dengan AWS Organizations.

Cara menonaktifkan akses layanan terpercaya

1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

2. Pada halaman Layanan, temukan baris untuk layanan yang ingin Anda menonaktifkan, dan pilih namanya.

3. Tunggu sampai administrator layanan lain memberitahu Anda bahwa layanan dinonaktifkan dan bahwa sumber dayanya telah dibersihkan.

4. Di kotak dialog konfirmasi, masukkan disable dalam kotak, dan kemudian pilih Menonaktifkan akses terpercaya.

AWS CLI, AWS API

Untuk mengaktifkan atau menonaktifkan akses terpercaya

Anda dapat menggunakan perintah AWS CLI atau operasi API untuk mengaktifkan atau menonaktifkan akses layanan terpercaya:

• AWS CLI: AWS organisasi enable-aws-service-access

• AWS CLI: AWS organisasi disable-aws-service-access

• AWSAPI: Aktifkan AWSServiceAccess

• AWSAPI: Nonaktifkan AWSServiceAccess

AWS Organizations dan peran tertaut layanan

AWS Organizations menggunakan Peran yang terhubung dengan IAM untuk mengaktifkan layanan terpercaya untuk melakukan tugas atas nama Anda di akun anggota organisasi Anda. Bila Anda mengonfigurasi layanan terpercaya dan memberikan otorisasi kepadanya untuk diintegrasikan dengan organisasi Anda, layanan tersebut dapat meminta AWS Organizations membuat peran tertaut layanan di akun anggotanya. Layanan tepercaya melakukan ini secara asinkron sesuai kebutuhan dan tidak harus di semua akun di organisasi secara bersamaan. Peran tertaut layanan memiliki izin IAM yang telah ditetapkan sebelumnya yang memungkinkan layanan terpercaya untuk melakukan hanya tugas tertentu dalam akun tersebut. Secara umum, AWS mengelola semua peran tertaut layanan, yang berarti bahwa Anda biasanya tidak dapat mengubah peran atau kebijakan yang dilampirkan.

Agar semua ini dapat dilakukan, bila Anda membuat akun di organisasi atau menerima undangan untuk bergabung dengan akun yang ada ke organisasi, AWS Organizations ketentuan akun anggota dengan peran tertaut layanan yang bernama AWSServiceRoleForOrganizations. Hanya layanan AWS Organizations itu sendiri dapat mengambil peran ini. Peran tersebut memiliki izin yang memungkinkan AWS Organizations untuk membuat peran tertaut layanan untuk layanan AWS. Peran tertaut layanan ini hadir di semua organisasi.

Meskipun kami tidak merekomendasikannya, jika organisasi Anda hanya telah mengaktifkan fitur penagihan gabungan, peran tertaut layanan yang bernama AWSServiceRoleForOrganizations tidak pernah digunakan, dan Anda dapat menghapusnya. Jika nanti Anda ingin mengaktifkan semua fitur di organisasi Anda, peran tersebut diperlukan, dan Anda harus memulihkannya. Pemeriksaan berikut terjadi ketika Anda memulai proses untuk mengaktifkan semua fitur:

• Untuk setiap akun anggota yang diundang untuk bergabung organisasi — Administrator akun menerima permintaan untuk menyetujui untuk mengaktifkan semua fitur. Agar berhasil menyetujui permintaan tersebut, administrator harus memiliki kedua izin organizations:AcceptHandshake dan iam:CreateServiceLinkedRole jika peran yang ditautkan dengan layanan (AWSServiceRoleForOrganizations) belum ada. Jika peran AWSServiceRoleForOrganizations sudah ada, administrator hanya membutuhkan izin organizations:AcceptHandshake untuk menyetujui permintaan tersebut. Ketika administrator menyetujui permintaan tersebut, AWS Organizations membuat peran tertaut layanan jika belum ada.

• Untuk setiap akun anggota yang dibuat dalam organisasi — Administrator akun menerima permintaan untuk membuat ulang peran tertaut layanan tersebut. (Administrator akun anggota tidak menerima permintaan untuk mengaktifkan semua fitur karena administrator akun manajemen (sebelumnya dikenal sebagai "akun master") dianggap sebagai pemilik akun anggota yang dibuat.) AWS Organizations membuat peran tertaut layanan ketika administrator akun anggota menyetujui permintaan tersebut. Administrator harus memiliki kedua izin organizations:AcceptHandshake dan iam:CreateServiceLinkedRole untuk berhasil menerima jabat tangan.

Setelah Anda mengaktifkan semua fitur di organisasi Anda, Anda tidak lagi dapat menghapus peran tertaut layanan AWSServiceRoleForOrganizations dari akun mana pun.

penting

SCP AWS Organizations tidak pernah mempengaruhi peran tertaut layanan. Peran ini dibebaskan dari pembatasan SCP.