Habilitar todos os recursos em sua organização - AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar todos os recursos em sua organização

As AWS Organizations têm dois conjuntos de recursos disponíveis:

  • Todos os recursos— Esse conjunto de recursos é a forma preferida de trabalhar com as AWS Organizations e inclui recursos de faturamento consolidado. Quando você cria uma organização, a habilitação de todos os recursos é o padrão. Com todos os recursos habilitados, você pode usar os recursos avançados disponíveis no gerenciamento de contas nas AWS Organizations, comointegração com serviços compatíveis da AWSepolíticas de gerenciamento da organização.

  • Funcionalidades de faturamento— todas as organizações suportam esse subconjunto de recursos, que fornece ferramentas de gerenciamento básicas que você pode usar para gerenciar centralmente as contas em sua organização.

Se você criar uma organização apenas com os recursos de faturamento consolidado, poderá habilitar todos os recursos posteriormente. Esta página descreve o processo de habilitação de todos os recursos.

Antes de habilitar todos os recursos

Antes de mudar de uma organização que oferece suporte apenas a recursos de faturamento consolidado para uma organização que oferece suporte a todos os recursos, observe o seguinte:

  • Quando você inicia o processo para habilitar todos os recursos, as AWS Organizations enviarão uma solicitação para cada conta-membro que vocêconvidouPara se unirem à sua organização. Cada conta convidada deve aprovar a ativação de todos os recursos aceitando a solicitação. Somente então você poderá concluir o processo para ativar todos os recursos em sua organização. Se uma conta recusar a solicitação, você deve remover a conta da sua organização ou reenviar a solicitação. A solicitação deve ser aceita antes que você possa concluir o processo de habilitação de todos os recursos. Contas que vocêcreatedO uso de AWS Organizations não recebe uma solicitação porque não precisam aprovar o controle adicional.

  • Você pode continuar convidando contas para sua organização enquanto habilita todos os recursos. O proprietário de uma conta convidada é informado pelo convite se ele está ingressando em uma organização com cobrança consolidada somente ou com todos os recursos habilitados.

    • Se você convidar uma contaDuranteo processo para habilitar todos os recursos, o convite indica que a organização em que estão ingressando tem todos os recursos habilitados. Se você cancelar o processo para habilitar todos os recursos antes que a conta aceite o convite, esse convite será cancelado. Você deve convidar a conta novamente para ser membro de uma organização apenas com recursos de faturamento consolidado.

    • Se você convidar uma conta e o convite ainda não for aceitoAntesvocê inicia o processo para habilitar todos os recursos, esse convite é cancelado porque o convite indica que a organização tem recursos de faturamento consolidados apenas. Você deve convidar a conta novamente para ser membro de uma organização com todos os recursos habilitados.

  • Você também pode continuar criando contas na organização. Esse processo não é afetado por essa alteração.

  • As AWS Organizations verificam se todas as contas membros têm uma função vinculada ao serviço chamadaAWSServiceRoleForOrganizations. Essa função é obrigatória em todas as contas para ativar todos os recursos. Se você excluiu a função em uma conta de convidado, aceitar o convite para ativar todos os recursos recria a função. Se você excluiu a função em uma conta que foi criada usando AWS Organizations, essa conta recebe um convite especificamente para recriar essa função. Todos esses convites devem ser aceitos para a organização concluir o processo de habilitação de todos os recursos.

  • Como a habilitação de todos os recursos possibilita o uso de SCPs, certifique-se de que os administradores de sua conta compreendem os efeitos da anexação de SCPs à organização, às unidades organizacionais ou às contas. Uma SCP pode restringir o que os usuários e até mesmo os administradores podem fazer nas contas afetadas. Por exemplo, a conta de gerenciamento pode aplicar SCPs que podem impedir que contas-membro saiam da organização.

  • A conta de gerenciamento não é afetada por nenhum SCP. Você não pode limitar o que os usuários e as funções na conta de gerenciamento podem fazer aplicando SCPs. As SCPs afetam somente contas-membro.

  • A migração de recursos de faturamento consolidado para todos os recursos é unidirecional. Você não pode mudar uma organização com todos os recursos habilitados de volta para apenas recursos de faturamento consolidado.

  • (Não recomendado) Se a sua organização tiver apenas recursos de faturamento consolidado ativados, os administradores da conta membro poderão optar por excluir a função vinculada ao serviço chamadaAWSServiceRoleForOrganizations. Se você optar por ativar posteriormente todos os recursos em uma organização, essa função é necessária e é recriada em todas as contas como parte da aceitação do convite para a habilitação de todos os recursos. Para obter mais informações sobre como as AWS Organizations usam essa função, consulteAWS Organizations e funções vinculadas ao serviço.

Iniciar processo para habilitar todos os recursos

Quando você fizer login na conta de gerenciamento da sua organização, poderá iniciar o processo para ativar todos os recursos. Para fazer isso, conclua as seguintes etapas.

Permissões mínimas

Para ativar todos os recursos em sua organização, você deve ter as seguintes permissões:

  • organizations:EnableAllFeatures

  • organizations:DescribeOrganization— necessário somente ao usar o console Organizations

New console

Para pedir para as contas-membro convidadas aceitarem a ativação de todos os recursos na organização

  1. Faça login noConsole de AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (Não recomendado) na conta de gerenciamento da organização.

  2. NoConfiguraçõespágina escolherIniciar processo.

  3. NoAtivar todos os recursos, confirme que você entendeu que não é possível retornar para somente recursos de faturamento consolidado depois de alternar escolhendoIniciar processo.

    AWS Organizations envia uma solicitação para cada conta convidada (não criada) na organização solicitando a aprovação para ativar todos os recursos na organização. Se você tiver contas que foram criadas usando as AWS Organizations e o administrador da conta-membro tiver excluído a função vinculada ao serviço chamadaAWSServiceRoleForOrganizations, as AWS Organizations enviam a essa conta uma solicitação para recriar a função.

    O console exibe oStatus da solicitação dapara as contas convidadas.

    dica

    Para voltar a esta página mais tarde, abra oConfiguraçõese noPedido enviadodata, selecioneVisualizar status.

  4. OAtivar todos os recursosA página mostra o status da solicitação atual para cada conta na organização. As contas que aceitaram a solicitação mostram um statusACEITO. Contas que ainda não concordaram mostram um status deABERTO.

Old console
Importante

Redesenhamos o console de AWS Organizations para facilitar o uso. A partir de28 de abril de 2021O console antigo não estará mais disponível. Recomendamos que você alterne para o novo console e use os procedimentos na seçãoNovo consoleEm vez disso.

Para pedir para as contas-membro convidadas aceitarem a ativação de todos os recursos na organização

  1. Faça login noConsole de AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (Não recomendado) na conta de gerenciamento da organização.

  2. NoConfiguraçõesGuia, selecioneAtivar todos os recursos.

  3. NoAtivar todos os recursos, confirme que você entendeu que não é possível retornar para somente recursos de faturamento consolidado depois de alternar escolhendoIniciar processo para habilitar todos os recursos.

    AWS Organizations envia uma solicitação para cada conta convidada (não criada) na organização solicitando a aprovação para ativar todos os recursos na organização. Se você tiver contas que foram criadas usando as AWS Organizations e o administrador da conta-membro tiver excluído a função vinculada ao serviço chamadaAWSServiceRoleForOrganizations, as AWS Organizations enviam a essa conta uma solicitação para recriar a função.

    O console exibe oStatus da solicitação dapara as contas convidadas.

    dica

    Para voltar a esta página mais tarde, navegue até oConfiguraçõese, em seguida, na guiaSolicitações enviadas, selecioneVisualizar status.

  4. Esta página mostra o status da solicitação atual para cada conta na organização. As contas que aceitaram a solicitação mostram um statusAceito. Contas que ainda não concordaram mostram um status deAberto.

AWS CLI & AWS SDKs

Para pedir para as contas-membro convidadas aceitarem a ativação de todos os recursos na organização

Você pode usar um dos seguintes comandos para habilitar todos os recursos em uma organização:

  • CLI DA AWS:: aws organizations enable-all-features

    O comando a seguir inicia o processo para habilitar todos os recursos na organização.

    $ aws organizations enable-all-features { "Handshake": { "Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "REQUESTED", "RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00", "ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-a1b2c3d4e5", "Type": "ORGANIZATION" } ] } }

    A saída mostra os detalhes do handshake com o qual as contas dos membros convidados devem concordar.

  • SDKs da AWS: EnableAllFeatures

Notes
  • Uma contagem regressiva de 90 dias começa quando a solicitação é enviada para as contas-membro. Todas as contas devem aprovar a solicitação dentro desse período. Caso contrário, a solicitação expirará. Se a solicitação expirar, todas as solicitações relacionadas a essa tentativa serão canceladas e você precisará recomeçar com a etapa 2.

  • Durante o tempo entre quando você faz a solicitação para ativar todos os recursos e quando todas as contas aceitam ou o tempo limite é atingido, todos os convites pendentes para outras contas se unirem à organização são automaticamente cancelados. Você não pode emitir novos convites até que o processo de ativação de todos os recursos seja concluído.

  • Depois de concluir o processo de ativação de todos os recursos, você pode convidar novamente contas para participar da organização. O processo não muda, mas todos os convites incluem informações que permitem que os destinatários saibam que, se eles aceitarem o convite, estarão sujeitos a todas as políticas aplicáveis.

Depois que todas as contas convidadas na organização aprovarem as solicitações, você poderá finalizar o processo e ativar todos os recursos. Você também pode finalizar o processo imediatamente caso sua organização não tenha nenhumaconvidouContas-membro do Para finalizar o processo, continue comFinalizar o processo para habilitar todos os recursos.

Aprovar solicitação para habilitar todos os recursos ou recriar a função vinculada ao serviço

Quando você fizer login em uma das contas membros convidadas da organização, poderá aprovar uma solicitação na conta de gerenciamento. Se sua conta foi originalmente convidada a ingressar na organização, o convite será para ativar todos os recursos e implicitamente incluir a aprovação para recriar a função AWSServiceRoleForOrganizations, se necessário. Se sua conta foi criada usando AWS Organizations e você excluiu oAWSServiceRoleForOrganizationsA função vinculada ao serviço, receberá um convite apenas para recriar a função. Para fazer isso, conclua as seguintes etapas.

Importante

Se você executar as etapas no procedimento a seguir, a conta de gerenciamento na organização poderá aplicar controles baseados em políticas na sua conta-membro. Esses controles podem restringir o que os usuários e até mesmo o que você, como administrador, poderá fazer na conta. Essas restrições podem impedir que sua conta saia da organização.

Permissões mínimas

Para aprovar uma solicitação para ativar todos os recursos para a sua conta membro, você deverá ter as seguintes permissões:

  • organizations:AcceptHandshake

  • organizations:DescribeOrganization— necessário somente ao usar o console Organizations

  • organizations:ListHandshakesForAccount— necessário somente ao usar o console Organizations

  • iam:CreateServiceLinkedRole— necessário somente se oAWSServiceRoleForOrganizationsA função deve ser recriada na conta membro

New console

Para aceitar a solicitação de ativação de todos os recursos na organização

  1. Fazer login no console AWS Organizations emConsole de AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (Não recomendado) em uma conta-membro.

  2. Leia o que significa a aceitação da solicitação para todos os recursos na organização para a sua conta e escolha Aceitar. A página continua mostrando o processo como incompleto até que todas as contas na organização aceitem as solicitações e o administrador da conta de gerenciamento finalize o processo.

Old console
Importante

Redesenhamos o console de AWS Organizations para facilitar o uso. A partir de28 de abril de 2021O console antigo não estará mais disponível. Recomendamos que você alterne para o novo console e use os procedimentos na seçãoNovo consoleEm vez disso.

Para aceitar a solicitação de ativação de todos os recursos na organização

  1. Fazer login no console AWS Organizations emConsole de AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (Não recomendado) em uma conta-membro.

  2. Leia o que significa a aceitação da solicitação para todos os recursos na organização para a sua conta e escolha Aceitar. A página continua mostrando o processo como incompleto até que todas as contas na organização aceitem as solicitações e o administrador da conta de gerenciamento finalize o processo.

AWS CLI & AWS SDKs

Para aceitar a solicitação de ativação de todos os recursos na organização

Para aceitar a solicitação, você deve aceitar o handshake com "Action": "APPROVE_ALL_FEATURES".

  • CLI DA AWS:

    O exemplo da a seguir mostra como listar os handshakes disponíveis para a sua conta do. O valor de"Id"na quarta linha da saída é o valor que você precisa para o próximo comando.

    $ aws organizations list-handshakes-for-account { "Handshakes": [ { "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" }, { "Id": "111122223333", "Type": "ACCOUNT" } ], "State": "OPEN", "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00", "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00", "Action": "APPROVE_ALL_FEATURES", "Resources": [ { "Value": "c440da758cab44068cdafc812EXAMPLE", "Type": "PARENT_HANDSHAKE" }, { "Value": "o-aa111bb222", "Type": "ORGANIZATION" }, { "Value": "111122223333", "Type": "ACCOUNT" } ] } ] }

    O exemplo a seguir usa o Id do handshake do comando anterior para aceitar esse handshake.

    $ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE { "Handshake": { "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" }, { "Id": "111122223333", "Type": "ACCOUNT" } ], "State": "ACCEPTED", "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00", "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00", "Action": "APPROVE_ALL_FEATURES", "Resources": [ { "Value": "c440da758cab44068cdafc812EXAMPLE", "Type": "PARENT_HANDSHAKE" }, { "Value": "o-aa111bb222", "Type": "ORGANIZATION" }, { "Value": "111122223333", "Type": "ACCOUNT" } ] } }
  • SDKs da AWS:

Finalizar o processo para habilitar todos os recursos

Todas as contas-membro convidadas devem aprovar a solicitação para habilitar todos os recursos. Se não houver contas membros convidadas na organização, a página Progresso de ativação de todos os recursos indicará com um banner verde que você pode finalizar o processo.

Permissões mínimas

Para finalizar o processo de ativação de todos os recursos para a organização, você deve ter as seguintes permissões:

  • organizations:AcceptHandshake

  • organizations:ListHandshakesForOrganization

  • organizations:DescribeOrganization— necessário somente ao usar o console Organizations

New console

Para finalizar o processo para ativar todos os recursos

  1. Faça login noConsole de AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (Não recomendado) na conta de gerenciamento da organização.

  2. NoConfiguraçõesSe todas as contas convidadas aceitarem a solicitação de ativação de todos os recursos, aparecerá uma caixa verde na parte superior da página para informar você. Na caixa verde, selecioneIr para finalizar.

  3. NoAtivar todos os recursosPágina, selecioneFINALIZEe, na caixa de diálogo de confirmação, escolhaFINALIZEnovamente.

  4. A organização agora tem todos os recursos ativados.

Old console
Importante

Redesenhamos o console de AWS Organizations para facilitar o uso. A partir de28 de abril de 2021O console antigo não estará mais disponível. Recomendamos que você alterne para o novo console e use os procedimentos na seçãoNovo consoleEm vez disso.

Para finalizar o processo para ativar todos os recursos

  1. Faça login noConsole de AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (Não recomendado) na conta de gerenciamento da organização.

  2. NoConfigurações, emO processo para habilitar todos os recursos foi iniciado, escolhaExibir o status da solicitação 'habilitar todos os recursos'.

    Se todas as contas convidadas aceitarem a solicitação de ativação de todos os recursos, uma caixa verde aparecerá na parte superior da página.

  3. Na caixa verde, selecioneFinalizar processo para habilitar todos os recursos. Para confirmar, escolha Finalize process to enable all features (Finalizar processo para habilitar todos os recursos) novamente.

  4. A organização agora tem todos os recursos ativados.

AWS CLI & AWS SDKs

Para finalizar o processo para ativar todos os recursos

Para finalizar o processo, você deve aceitar o handshake com "Action": "ENABLE_ALL_FEATURES".

  • CLI DA AWS:

    $ aws organizations list-handshakes-for-organization { "Handshakes": [ { "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "OPEN", "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00", "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-aa111bb222", "Type": "ORGANIZATION" } ] } ] }

    O exemplo a seguir mostra como listar os handshakes disponíveis para a organização. O valor de"Id"na quarta linha da saída é o valor que você precisa para o próximo comando.

    $ aws organizations accept-handshake \ --handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE { "Handshake": { "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "ACCEPTED", "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00", "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-aa111bb222", "Type": "ORGANIZATION" } ] } }
  • SDKs da AWS:

Os próximos passos: