Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Abilitazione di tutte le caratteristiche nell'organizzazione
AWS Organizations ha due set di funzionalità disponibili:
-
Tutte le funzionalità: questo set di funzionalità è il modo preferito di lavorare e include le AWS Organizations funzionalità di consolidamento della fatturazione. Quando si crea un'organizzazione, l'abilitazione di tutte le caratteristiche è l'impostazione predefinita. Con tutte le funzionalità abilitate, puoi utilizzare le funzionalità avanzate di gestione degli account disponibili, AWS Organizations come l'integrazione con AWS i servizi supportati e le politiche di gestione dell'organizzazione.
-
Caratteristiche di fatturazione consolidata - Tutte le organizzazioni supportano questo sottoinsieme di caratteristiche, che offre strumenti per la gestione di base utilizzabili per gestire centralmente gli account dell'organizzazione.
Se si crea un'organizzazione solo con le caratteristiche di fatturazione consolidata, è possibile abilitare tutte le caratteristiche in un secondo momento. Questa pagina descrive il processo di abilitazione di tutte le caratteristiche.
Prima di abilitare tutte le caratteristiche
Prima di passare da un'organizzazione che supporta solo le caratteristiche di fatturazione consolidata a un'organizzazione che supporta tutte le caratteristiche, si noti quanto segue:
-
Quando avvii il processo per abilitare tutte le funzionalità, AWS Organizations invia una richiesta a tutti gli account membri che hai invitato a far parte dell'organizzazione. Ogni account invitato deve approvare l'abilitazione di tutte le caratteristiche accettando la richiesta. Solo così potrai completare il processo di abilitazione nell'organizzazione. Se un account rifiuta la richiesta, devi rimuovere l'account dall'organizzazione o inviare nuovamente la richiesta. La richiesta deve essere accettata per poter completare il processo per abilitare tutte le funzionalità. Gli account creati utilizzando AWS Organizations non ricevono alcuna richiesta in quanto non hanno bisogno di approvare il controllo aggiuntivo.
-
Puoi continuare a invitare gli account a fa parte dell'organizzazione abilitando tutte le caratteristiche. Il proprietario di un account invitato viene informato dall'invito se sta entrando a far parte di un'organizzazione con la sola fatturazione consolidata o con tutte le funzionalità abilitate.
-
Se inviti un account durante il processo per abilitare tutte le funzionalità, l'invito indica che l'organizzazione di cui entrerà a far parte ha tutte le funzionalità abilitate. Se si annulla il processo per abilitare tutte le funzionalità prima che l'account accetti l'invito, tale invito viene annullato. È necessario invitare nuovamente l'account a far parte di un'organizzazione solo con le caratteristiche di fatturazione consolidata.
-
Se inviti un account e l'invito non è ancora stato accettato prima che avvii il processo per abilitare tutte le funzionalità, tale invito viene annullato perché l'invito indica che l'organizzazione dispone solo di funzionalità di fatturazione consolidate. È necessario invitare nuovamente l'account a far parte di un'organizzazione con tutte le caratteristiche abilitate.
-
-
Puoi inoltre continuare a creare account nell'organizzazione. Questo processo non è influenzato da questa modifica.
-
AWS Organizations verifica che ogni account membro abbia un ruolo collegato al servizio denominato.
AWSServiceRoleForOrganizations
Questo ruolo è obbligatorio in tutti gli account per abilitare tutte le caratteristiche. Se hai eliminato il ruolo in un account invitato, l'accettazione dell'invito per abilitare tutte le caratteristiche ricrea il ruolo. Se hai eliminato il ruolo in un account creato utilizzando AWS Organizations, quell'account riceve un invito specifico a ricreare quel ruolo. Tutti questi inviti devono essere accettati affinché l'organizzazione possa completare il processo di abilitazione di tutte le caratteristiche. -
Poiché l'abilitazione di tutte le caratteristiche consente di utilizzare le SCP, accertarsi che gli amministratori dell'account comprendano gli effetti del collegamento di SCP all'organizzazione, unità organizzative o account. Le SCP possono limitare le operazioni che gli utenti e anche gli amministratori possono eseguire negli account interessati. Ad esempio, l'account di gestione può applicare le SCP in grado di impedire agli account membri di lasciare l'organizzazione.
-
L'account di gestione non è influenzato da nessuna SCP. Non è possibile limitare le operazioni che gli utenti e i ruoli nell'account di gestione possono eseguire applicando delle SCP: queste policy influenzano solo gli account membri.
-
La migrazione da caratteristiche di fatturazione consolidata a tutte le caratteristiche è unidirezionale. Non puoi tornare alle sole caratteristiche di fatturazione consolidata se nella tua organizzazione hai abilitato tutte le caratteristiche.
-
(Non consigliato) Se nell'organizzazione sono abilitate solo le caratteristiche di fatturazione consolidata, gli amministratori degli account membri possono decidere di eliminare il ruolo collegato ai servizi denominato
AWSServiceRoleForOrganizations
. Se successivamente scegli di abilitare tutte le caratteristiche in un'organizzazione, questo ruolo è necessario e viene ricreato in tutti gli account come parte dell'accettazione dell'invito ad abilitare tutte le caratteristiche. Per ulteriori informazioni su come AWS Organizations utilizza questo ruolo, consultaAWS Organizations e ruoli collegati ai servizi.
Avvio del processo di abilitazione di tutte le caratteristiche
Quando effettui l'accesso con autorizzazioni all'account di gestione della tua organizzazione, puoi avviare il processo che ti permette di abilitare tutte le caratteristiche. Per farlo, completa le seguenti fasi.
Autorizzazioni minime
Per abilitare tutte le caratteristiche nella tua organizzazione, devi disporre della seguente autorizzazione:
-
organizations:EnableAllFeatures
-
organizations:DescribeOrganization
- Obbligatorio solo quando si utilizza la console Organizations
Note
-
Quando la richiesta viene inviata agli account membri ha inizio un conto alla rovescia di 90 giorni. Tutti gli account devono approvare la richiesta entro questo periodo di tempo, altrimenti la richiesta scadrà. Se la richiesta scade, tutte le richieste relative a questo tentativo verranno annullate e sarà necessario iniziare di nuovo dalla fase 2.
-
Una volta effettuata la richiesta di attivazione di tutte le funzionalità, tutti gli inviti all'account non accettati esistenti verranno annullati.
-
Durante il processo di migrazione di tutte le funzionalità, puoi comunque inviare inviti a nuovi account e creare nuovi account.
Una volta che tutti gli account invitati nell'organizzazione hanno approvato le richieste, è possibile finalizzare il processo e abilitare tutte le caratteristiche. Puoi anche finalizzare immediatamente il processo se nell'organizzazione non sono presenti account membri invitati. Per finalizzare il processo, procedi con Finalizzazione del processo per abilitare tutte le caratteristiche.
Approvazione della richiesta per abilitare tutte le caratteristiche o ricreare il ruolo collegato ai servizi
Quando effettui l'accesso con le autorizzazioni a uno degli account membri invitati dell'organizzazione, puoi approvare una richiesta a partire dall'account di gestione. Se il tuo account è stato originariamente invitato a unirsi all'organizzazione, l'invito è per abilitare tutte le caratteristiche e include implicitamente l'approvazione per ricreare il ruolo AWSServiceRoleForOrganizations
, se necessario. Se il tuo account è stato invece creato utilizzando AWS Organizations e hai eliminato il ruolo AWSServiceRoleForOrganizations
collegato al servizio, riceverai solo un invito a ricreare il ruolo. Per farlo, completa le seguenti fasi.
Importante
Se abiliti tutte le funzionalità, l'account di gestione dell'organizzazione potrà applicare i controlli basati su policy all'account membro. Questi controlli possono limitare le operazioni che gli utenti e anche tu come amministratore potete eseguire nel tuo account. Tali restrizioni potrebbero impedire al tuo account di lasciare l'organizzazione.
Autorizzazioni minime
Per approvare una richiesta di abilitazione di tutte le caratteristiche per il tuo account membro, devi disporre delle autorizzazioni seguenti:
-
organizations:AcceptHandshake
-
organizations:DescribeOrganization
- Obbligatorio solo quando si utilizza la console Organizations -
organizations:ListHandshakesForAccount
- Obbligatorio solo quando si utilizza la console Organizations -
iam:CreateServiceLinkedRole
- Richiesta solo se il ruoloAWSServiceRoleForOrganizations
deve essere ricreato nell'account membro
Finalizzazione del processo per abilitare tutte le caratteristiche
Tutti gli account membri invitati devono approvare la richiesta per abilitare tutte le caratteristiche. Se nell'organizzazione non sono presenti account membri invitati, la pagina Enable all features progress (Avanzamento dell'abilitazione di tutte le caratteristiche) indica con un banner verde che è possibile finalizzare il processo.
Autorizzazioni minime
Per finalizzare il processo di abilitazione di tutte le caratteristiche per l'organizzazione, devi disporre della seguente autorizzazione:
-
organizations:AcceptHandshake
-
organizations:ListHandshakesForOrganization
-
organizations:DescribeOrganization
- Obbligatorio solo quando si utilizza la console Organizations
Le fasi successive:
-
Abilita i tipi di policy che desideri utilizzare. Quindi, è possibile collegare le policy che permettono di gestire gli account nell'organizzazione. Per ulteriori informazioni, consulta Gestione delle politiche in AWS Organizations.
-
Abilita l'integrazione con i servizi supportati. Per ulteriori informazioni, consulta Uso di AWS Organizations con altri servizi AWS.