Abilitazione di tutte le caratteristiche nell'organizzazione - AWS Organizations
Prima di abilitare tutte le caratteristicheAvvio del processo di abilitazione di tutte le caratteristicheApprovazione della richiesta per abilitare tutte le caratteristiche o ricreare il ruolo collegato ai serviziFinalizzazione del processo per abilitare tutte le caratteristiche

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione di tutte le caratteristiche nell'organizzazione

AWS Organizations ha due set di funzionalità disponibili:

  • Tutte le funzionalità: questo set di funzionalità è il modo preferito di lavorare e include le AWS Organizations funzionalità di consolidamento della fatturazione. Quando si crea un'organizzazione, l'abilitazione di tutte le caratteristiche è l'impostazione predefinita. Con tutte le funzionalità abilitate, puoi utilizzare le funzionalità avanzate di gestione degli account disponibili, AWS Organizations come l'integrazione con AWS i servizi supportati e le politiche di gestione dell'organizzazione.

  • Caratteristiche di fatturazione consolidata - Tutte le organizzazioni supportano questo sottoinsieme di caratteristiche, che offre strumenti per la gestione di base utilizzabili per gestire centralmente gli account dell'organizzazione.

Se si crea un'organizzazione solo con le caratteristiche di fatturazione consolidata, è possibile abilitare tutte le caratteristiche in un secondo momento. Questa pagina descrive il processo di abilitazione di tutte le caratteristiche.

Prima di abilitare tutte le caratteristiche

Prima di passare da un'organizzazione che supporta solo le caratteristiche di fatturazione consolidata a un'organizzazione che supporta tutte le caratteristiche, si noti quanto segue:

  • Quando avvii il processo per abilitare tutte le funzionalità, AWS Organizations invia una richiesta a tutti gli account membri che hai invitato a far parte dell'organizzazione. Ogni account invitato deve approvare l'abilitazione di tutte le caratteristiche accettando la richiesta. Solo così potrai completare il processo di abilitazione nell'organizzazione. Se un account rifiuta la richiesta, devi rimuovere l'account dall'organizzazione o inviare nuovamente la richiesta. La richiesta deve essere accettata per poter completare il processo per abilitare tutte le funzionalità. Gli account creati utilizzando AWS Organizations non ricevono alcuna richiesta in quanto non hanno bisogno di approvare il controllo aggiuntivo.

  • Puoi continuare a invitare gli account a fa parte dell'organizzazione abilitando tutte le caratteristiche. Il proprietario di un account invitato viene informato dall'invito se sta entrando a far parte di un'organizzazione con la sola fatturazione consolidata o con tutte le funzionalità abilitate.

    • Se inviti un account durante il processo per abilitare tutte le funzionalità, l'invito indica che l'organizzazione di cui entrerà a far parte ha tutte le funzionalità abilitate. Se si annulla il processo per abilitare tutte le funzionalità prima che l'account accetti l'invito, tale invito viene annullato. È necessario invitare nuovamente l'account a far parte di un'organizzazione solo con le caratteristiche di fatturazione consolidata.

    • Se inviti un account e l'invito non è ancora stato accettato prima che avvii il processo per abilitare tutte le funzionalità, tale invito viene annullato perché l'invito indica che l'organizzazione dispone solo di funzionalità di fatturazione consolidate. È necessario invitare nuovamente l'account a far parte di un'organizzazione con tutte le caratteristiche abilitate.

  • Puoi inoltre continuare a creare account nell'organizzazione. Questo processo non è influenzato da questa modifica.

  • AWS Organizations verifica che ogni account membro abbia un ruolo collegato al servizio denominato. AWSServiceRoleForOrganizations Questo ruolo è obbligatorio in tutti gli account per abilitare tutte le caratteristiche. Se hai eliminato il ruolo in un account invitato, l'accettazione dell'invito per abilitare tutte le caratteristiche ricrea il ruolo. Se hai eliminato il ruolo in un account creato utilizzando AWS Organizations, quell'account riceve un invito specifico a ricreare quel ruolo. Tutti questi inviti devono essere accettati affinché l'organizzazione possa completare il processo di abilitazione di tutte le caratteristiche.

  • Poiché l'abilitazione di tutte le caratteristiche consente di utilizzare le SCP, accertarsi che gli amministratori dell'account comprendano gli effetti del collegamento di SCP all'organizzazione, unità organizzative o account. Le SCP possono limitare le operazioni che gli utenti e anche gli amministratori possono eseguire negli account interessati. Ad esempio, l'account di gestione può applicare le SCP in grado di impedire agli account membri di lasciare l'organizzazione.

  • L'account di gestione non è influenzato da nessuna SCP. Non è possibile limitare le operazioni che gli utenti e i ruoli nell'account di gestione possono eseguire applicando delle SCP: queste policy influenzano solo gli account membri.

  • La migrazione da caratteristiche di fatturazione consolidata a tutte le caratteristiche è unidirezionale. Non puoi tornare alle sole caratteristiche di fatturazione consolidata se nella tua organizzazione hai abilitato tutte le caratteristiche.

  • (Non consigliato) Se nell'organizzazione sono abilitate solo le caratteristiche di fatturazione consolidata, gli amministratori degli account membri possono decidere di eliminare il ruolo collegato ai servizi denominato AWSServiceRoleForOrganizations. Se successivamente scegli di abilitare tutte le caratteristiche in un'organizzazione, questo ruolo è necessario e viene ricreato in tutti gli account come parte dell'accettazione dell'invito ad abilitare tutte le caratteristiche. Per ulteriori informazioni su come AWS Organizations utilizza questo ruolo, consultaAWS Organizations e ruoli collegati ai servizi.

Avvio del processo di abilitazione di tutte le caratteristiche

Quando effettui l'accesso con autorizzazioni all'account di gestione della tua organizzazione, puoi avviare il processo che ti permette di abilitare tutte le caratteristiche. Per farlo, completa le seguenti fasi.

Autorizzazioni minime

Per abilitare tutte le caratteristiche nella tua organizzazione, devi disporre della seguente autorizzazione:

  • organizations:EnableAllFeatures

  • organizations:DescribeOrganization - Obbligatorio solo quando si utilizza la console Organizations

AWS Management Console
Per chiedere agli account membri invitati di confermare l'abilitazione di tutte le caratteristiche nell'organizzazione

  1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

  2. Nella pagina Impostazioni, scegliere Inizia il processo per abilitare tutte le caratteristiche.

  3. Nella pagina Abilita tutte le caratteristiche, riconosci che non è possibile tornare alle caratteristiche di sola fatturazione consolidata dopo la modifica scegliendo Inizia il processo per abilitare tutte le caratteristiche.

    AWS Organizations invia una richiesta a tutti gli account invitati (non creati) dell'organizzazione chiedendo l'approvazione per abilitare tutte le funzionalità dell'organizzazione. Se disponi di account creati utilizzando AWS Organizations e l'amministratore dell'account membro ha eliminato il ruolo collegato al servizio denominatoAWSServiceRoleForOrganizations, AWS Organizations invia all'account una richiesta per ricreare il ruolo.

    La console visualizza l'elenco Request approval status (Stato di approvazione della richiesta) per gli account invitati.

    Suggerimento

    Per tornare a questa pagina in un secondo momento, apri la pagina Settings (Impostazioni) e nella sezione Request sent date (Richiesta inviata in data) scegli View status (Visualizza stato).

  4. Nella pagina Enable all features (Abilita tutte le caratteristiche) è mostrato lo stato corrente della richiesta per ogni account nell'organizzazione. Gli account che hanno accettato la richiesta mostrano lo stato ACCEPTED (Accettato). Gli account che non hanno ancora accettato la richiesta mostrano lo stato OPEN (Aperto).

AWS CLI & AWS SDKs
Per chiedere agli account membri invitati di confermare l'abilitazione di tutte le caratteristiche nell'organizzazione

Per abilitare tutte le caratteristiche in un'organizzazione, puoi utilizzare uno dei seguenti comandi:

  • AWS CLI: enable-all-features

    Il seguente comando avvia il processo di abilitazione di tutte le caratteristiche nell'organizzazione.

    $ aws organizations enable-all-features
{
    "Handshake": {
        "Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE",
        "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE",
        "Parties": [
            {
                "Id": "a1b2c3d4e5",
                "Type": "ORGANIZATION"
            }
        ],
        "State": "REQUESTED",
        "RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00",
        "ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00",
        "Action": "ENABLE_ALL_FEATURES",
        "Resources": [
            {
                "Value": "o-a1b2c3d4e5",
                "Type": "ORGANIZATION"
            }
        ]
    }
}

    L'output mostra i dettagli dell'handshake che gli account membri invitati devono accettare.

  • AWS SDK: EnableAllFeatures
Note

  • Quando la richiesta viene inviata agli account membri ha inizio un conto alla rovescia di 90 giorni. Tutti gli account devono approvare la richiesta entro questo periodo di tempo, altrimenti la richiesta scadrà. Se la richiesta scade, tutte le richieste relative a questo tentativo verranno annullate e sarà necessario iniziare di nuovo dalla fase 2.

  • Una volta effettuata la richiesta di attivazione di tutte le funzionalità, tutti gli inviti all'account non accettati esistenti verranno annullati.

  • Durante il processo di migrazione di tutte le funzionalità, puoi comunque inviare inviti a nuovi account e creare nuovi account.

Una volta che tutti gli account invitati nell'organizzazione hanno approvato le richieste, è possibile finalizzare il processo e abilitare tutte le caratteristiche. Puoi anche finalizzare immediatamente il processo se nell'organizzazione non sono presenti account membri invitati. Per finalizzare il processo, procedi con Finalizzazione del processo per abilitare tutte le caratteristiche.

Approvazione della richiesta per abilitare tutte le caratteristiche o ricreare il ruolo collegato ai servizi

Quando effettui l'accesso con le autorizzazioni a uno degli account membri invitati dell'organizzazione, puoi approvare una richiesta a partire dall'account di gestione. Se il tuo account è stato originariamente invitato a unirsi all'organizzazione, l'invito è per abilitare tutte le caratteristiche e include implicitamente l'approvazione per ricreare il ruolo AWSServiceRoleForOrganizations, se necessario. Se il tuo account è stato invece creato utilizzando AWS Organizations e hai eliminato il ruolo AWSServiceRoleForOrganizations collegato al servizio, riceverai solo un invito a ricreare il ruolo. Per farlo, completa le seguenti fasi.

Importante

Se abiliti tutte le funzionalità, l'account di gestione dell'organizzazione potrà applicare i controlli basati su policy all'account membro. Questi controlli possono limitare le operazioni che gli utenti e anche tu come amministratore potete eseguire nel tuo account. Tali restrizioni potrebbero impedire al tuo account di lasciare l'organizzazione.

Autorizzazioni minime

Per approvare una richiesta di abilitazione di tutte le caratteristiche per il tuo account membro, devi disporre delle autorizzazioni seguenti:

  • organizations:AcceptHandshake

  • organizations:DescribeOrganization - Obbligatorio solo quando si utilizza la console Organizations

  • organizations:ListHandshakesForAccount - Obbligatorio solo quando si utilizza la console Organizations

  • iam:CreateServiceLinkedRole - Richiesta solo se il ruolo AWSServiceRoleForOrganizations deve essere ricreato nell'account membro

AWS Management Console
Per confermare la richiesta di abilitazione di tutte le caratteristiche nell'organizzazione

  1. Accedi alla AWS Organizations console all'indirizzo console.AWS Organizations È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) in un account membro.

  2. Leggere le implicazioni per l'account derivanti dall'accettazione della richiesta di abilitazione di tutte le caratteristiche nell'organizzazione, quindi scegliere Accetta. La pagina continua a visualizzare il processo come incompleto finché tutti gli account nell'organizzazione non accettano le richieste e l'amministratore dell'account di gestione non finalizza il processo.

AWS CLI & AWS SDKs
Per confermare la richiesta di abilitazione di tutte le caratteristiche nell'organizzazione

Per accettare la richiesta, è necessario accettare l'handshake con "Action": "APPROVE_ALL_FEATURES".

  • AWS CLI:

    Nell'esempio seguente viene illustrato come elencare le handshake disponibili per l'account. Il valore di "Id" nella quarta riga dell'output è il valore necessario per il comando successivo.

    $ aws organizations list-handshakes-for-account
{
    "Handshakes": [
        {
            "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
            "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
            "Parties": [
                {
                    "Id": "a1b2c3d4e5",
                    "Type": "ORGANIZATION"
                },
                {
                    "Id": "111122223333",
                    "Type": "ACCOUNT"
                }
            ],
            "State": "OPEN",
            "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
            "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
            "Action": "APPROVE_ALL_FEATURES",
            "Resources": [
                {
                    "Value": "c440da758cab44068cdafc812EXAMPLE",
                    "Type": "PARENT_HANDSHAKE"
                },
                {
                    "Value": "o-aa111bb222",
                    "Type": "ORGANIZATION"
                },
                {
                    "Value": "111122223333",
                    "Type": "ACCOUNT"
                }
            ]
        }
    ]
}

    Nell'esempio seguente viene utilizzato l'ID dell'handshake del comando precedente per accettare tale handshake.

    $ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE
{
    "Handshake": {
        "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
        "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
        "Parties": [
            {
                "Id": "a1b2c3d4e5",
                "Type": "ORGANIZATION"
            },
            {
                "Id": "111122223333",
                "Type": "ACCOUNT"
            }
        ],
        "State": "ACCEPTED",
        "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
        "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
        "Action": "APPROVE_ALL_FEATURES",
        "Resources": [
            {
                "Value": "c440da758cab44068cdafc812EXAMPLE",
                "Type": "PARENT_HANDSHAKE"
            },
            {
                "Value": "o-aa111bb222",
                "Type": "ORGANIZATION"
            },
            {
                "Value": "111122223333",
                "Type": "ACCOUNT"
            }
        ]
    }
}

  • AWS SDK:

Finalizzazione del processo per abilitare tutte le caratteristiche

Tutti gli account membri invitati devono approvare la richiesta per abilitare tutte le caratteristiche. Se nell'organizzazione non sono presenti account membri invitati, la pagina Enable all features progress (Avanzamento dell'abilitazione di tutte le caratteristiche) indica con un banner verde che è possibile finalizzare il processo.

Autorizzazioni minime

Per finalizzare il processo di abilitazione di tutte le caratteristiche per l'organizzazione, devi disporre della seguente autorizzazione:

  • organizations:AcceptHandshake

  • organizations:ListHandshakesForOrganization

  • organizations:DescribeOrganization - Obbligatorio solo quando si utilizza la console Organizations

AWS Management Console
Per finalizzare il processo di abilitazione di tutte le caratteristiche

  1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

  2. Nella pagina Settings (Impostazioni), se tutti gli account invitati hanno accettato la richiesta di abilitazione di tutte le caratteristiche, nella parte superiore della pagina viene visualizzata una casella verde per tua informazione. Nella casella verde, scegli Go to finalize (Vai a finalizzare).

  3. Nella pagina Enable all features (Abilita tutte le caratteristiche) scegliFinalize (Finalizza), quindi nella finestra di dialogo di conferma scegli nuovamente Finalize.

  4. A questo punto, l'organizzazione dispone di tutte le caratteristiche abilitate.

AWS CLI & AWS SDKs
Per finalizzare il processo di abilitazione di tutte le caratteristiche

Per finalizzare il processo, è necessario accettare l'handshake con "Action": "ENABLE_ALL_FEATURES".

  • AWS CLI:

    $ aws organizations list-handshakes-for-organization
{
    "Handshakes": [
        {
            "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
            "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
            "Parties": [
                {
                    "Id": "a1b2c3d4e5",
                    "Type": "ORGANIZATION"
                }
            ],
            "State": "OPEN",
            "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
            "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
            "Action": "ENABLE_ALL_FEATURES",
            "Resources": [
                {
                    "Value": "o-aa111bb222",
                    "Type": "ORGANIZATION"
                }
            ]
        }
    ]
}

    Nell'esempio seguente viene illustrato come elencare le handshake disponibili per l'organizzazione. Il valore di "Id" nella quarta riga dell'output è il valore necessario per il comando successivo.

    $ aws organizations accept-handshake \
    --handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE
{
    "Handshake": {
        "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
        "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
        "Parties": [
            {
                "Id": "a1b2c3d4e5",
                "Type": "ORGANIZATION"
            }
        ],
        "State": "ACCEPTED",
        "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
        "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
        "Action": "ENABLE_ALL_FEATURES",
        "Resources": [
            {
                "Value": "o-aa111bb222",
                "Type": "ORGANIZATION"
            }
        ]
    }
}

  • AWS SDK:

Le fasi successive: