Habilitar todos os recursos na organização - AWS Organizations

Habilitar todos os recursos na organização

O AWS Organizations tem dois conjuntos de recursos disponíveis:

  • Todos os recursos – Este conjunto de recursos é a forma preferida de trabalhar com o AWS Organizations, e inclui recursos de faturamento consolidado. Quando você cria uma organização, a habilitação de todos os recursos é o padrão. Com todos os recursos habilitados, você pode usar os recursos avançados disponíveis no gerenciamento de contas no AWS Organizations, tais como integração com os serviços compatíveis da AWS e políticas de gerenciamento da organização.

  • Recursos de faturamento consolidado – Todas as organizações suportam este subconjunto de recursos de faturamento consolidado, que fornece ferramentas de gerenciamento básicas que você pode usar para gerenciar centralmente as contas de sua organização.

Se você criar uma organização apenas com os recursos de faturamento consolidado, poderá habilitar todos os recursos posteriormente. Esta página descreve o processo de habilitação de todos os recursos.

Antes de habilitar todos os recursos

Antes de mudar de uma organização que oferece suporte apenas a recursos de faturamento consolidado para uma organização que oferece suporte a todos os recursos, observe o seguinte:

  • Quando você inicia o processo para habilitar todos os recursos, o AWS Organizations envia uma solicitação para cada conta-membro convidada para ingressar em sua organização. Cada conta convidada deve aprovar a ativação de todos os recursos aceitando a solicitação. Somente então você poderá concluir o processo para ativar todos os recursos em sua organização. Se uma conta recusar a solicitação, você deve remover a conta de sua organização ou reenviar a solicitação. A solicitação deve ser aceita antes que você possa concluir o processo de habilitação de todos os recursos. As contas que você criou usando o AWS Organizations não recebem uma solicitação porque não precisam aprovar o controle adicional.

  • Você pode continuar convidando contas para sua organização enquanto habilita todos os recursos. O proprietário de uma conta convidada é informado pelo convite se ele está ingressando em uma organização apenas com faturamento consolidado ou com todos os recursos habilitados.

    • Se você convidar uma conta durante o processo para habilitar todos os recursos, o convite indica que a organização em que a conta está ingressando tem todos os recursos habilitados. Se você cancelar o processo para habilitar todos os recursos antes que a conta aceite o convite, esse convite será cancelado. Você deve convidar a conta novamente para ser membro de uma organização apenas com os recursos de faturamento consolidado.

    • Se você convidar uma conta e o convite não tiver sido aceito antes de você iniciar o processo para habilitar todos os recursos, esse convite é cancelado, porque o convite indica que a organização tem recursos de faturamento consolidados apenas. Você deve convidar a conta novamente para ser membro de uma organização com todos os recursos habilitados.

  • Você também pode continuar criando contas na organização. Esse processo não é afetado por essa alteração.

  • O AWS Organizations verifica que toda conta-membro tenha uma função vinculada ao serviço chamada AWSServiceRoleForOrganizations. Essa função é obrigatória em todas as contas para ativar todos os recursos. Se você excluiu a função em uma conta de convidado, aceitar o convite para ativar todos os recursos recria a função. Se você excluiu a função em uma conta que foi criada usando AWS Organizations, essa conta recebe um convite especificamente para recriar essa função. Todos esses convites devem ser aceitos para a organização concluir o processo de habilitação de todos os recursos.

  • Como a habilitação de todos os recursos possibilita o uso de SCPs, certifique-se de que os administradores de sua conta compreendem os efeitos da anexação de SCPs à organização, às unidades organizacionais ou às contas. Uma SCP pode restringir o que os usuários e até mesmo os administradores podem fazer nas contas afetadas. Por exemplo, a conta de gerenciamento pode aplicar SCPs que podem impedir que contas-membro saiam da organização.

  • A conta de gerenciamento não é afetada por nenhuma SCP. Você não pode limitar o que os usuários e as funções na conta de gerenciamento podem fazer aplicando SCPs. As SCPs afetam somente contas-membro.

  • A migração de recursos de faturamento consolidado para todos os recursos é unidirecional. Você não pode mudar uma organização com todos os recursos habilitados de volta para apenas recursos de faturamento consolidado.

  • (Não recomendado) Se sua organização tiver apenas recursos de faturamento consolidado habilitados, os administradores da conta-membro podem optar por excluir a função vinculada ao serviço chamada AWSServiceRoleForOrganizations. No entanto, quando você habilita todos os recursos em uma organização, essa função é necessária e é recriada em todas as contas como parte da aceitação do convite para habilitar todos os recursos. Para obter mais informações sobre como o AWS Organizations usa esta função, consulte AWS Organizations e funções vinculadas ao serviço.

Iniciar processo para habilitar todos os recursos

Quando faz login com permissões na conta de gerenciamento de sua organização, pode iniciar o processo para habilitar todos os recursos. Para fazer isso, conclua as seguintes etapas.

Permissões mínimas

Para ativar todos os recursos em sua organização, você deve ter as seguintes permissões:

  • organizations:EnableAllFeatures

  • organizations:DescribeOrganization – necessário somente ao usar o console do Organizations

AWS Management Console

Para pedir para as contas-membro convidadas aceitarem a ativação de todos os recursos na organização

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Settings (Configurações), escolha Begin process (Iniciar o processo).

  3. Na página Enable all features (Habilitar todos os recursos), Confirme que entendeu que não é possível retornar para recursos de faturamento consolidado apenas depois que você alternar escolhendo Begin process (Iniciar o processo).

    O AWS Organizations envia uma solicitação para cada conta convidada (não criada) na organização solicitando a aprovação para ativar todos os recursos na organização. Se você tiver contas que foram criadas usando o AWS Organizations e o administrador da conta-membro tiver excluído a função vinculada ao serviço chamada AWSServiceRoleForOrganizations, o AWS Organizations enviará àquela conta uma solicitação para recriar a função.

    O console exibe a lista Request approval status (Solicitar status de aprovação) para as contas convidadas.

    dica

    Para voltar a esta página mais tarde, abra a página Settings (Configurações) e, na seção Request sent date (Data de envio do pedido), escolha View status (Visualizar status).

  4. A página Enable all features (habilitar todos os recursos mostra o status atual da solicitação para cada conta na organização. As contas que aceitaram a solicitação mostram um status de ACCEPTED (ACEITO). As contas que ainda não concordaram mostram um status de OPEN (ABERTO).

AWS CLI & AWS SDKs

Para pedir para as contas-membro convidadas aceitarem a ativação de todos os recursos na organização

Você pode usar um dos seguintes comandos para habilitar todos os recursos em uma organização:

  • AWS CLI: enable-all-features

    O comando a seguir inicia o processo para habilitar todos os recursos na organização.

    $ aws organizations enable-all-features { "Handshake": { "Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "REQUESTED", "RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00", "ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-a1b2c3d4e5", "Type": "ORGANIZATION" } ] } }

    A saída mostra os detalhes do handshake com o qual as contas dos membros convidados devem concordar.

  • AWS SDKs: EnableAllFeatures

Observações
  • Uma contagem regressiva de 90 dias começa quando a solicitação é enviada para as contas-membro. Todas as contas devem aprovar a solicitação dentro desse período. Caso contrário, a solicitação expirará. Se a validade da solicitação expirar, todas as solicitações relacionadas a essa tentativa são canceladas, e você precisa recomeçar na etapa 2.

  • Durante o tempo entre quando você faz a solicitação para ativar todos os recursos e quando todas as contas aceitam ou o tempo limite é atingido, todos os convites pendentes para outras contas se unirem à organização são automaticamente cancelados. Você não pode emitir novos convites até que o processo de ativação de todos os recursos seja concluído.

  • Depois de concluir o processo de ativação de todos os recursos, você pode convidar novamente contas para participar da organização. O processo não muda, mas todos os convites incluem informações que permitem que os destinatários saibam que, se eles aceitarem o convite, estarão sujeitos a todas as políticas aplicáveis.

Depois que todas as contas da organização aprovarem as solicitações, você poderá finalizar o processo e habilitar todos os recursos. Você também pode finalizar o processo imediatamente caso sua organização não tenha nenhuma conta-membro convidada. Para finalizar o processo, continue com Finalizar o processo para habilitar todos os recursos.

Aprovar solicitação para habilitar todos os recursos ou recriar a função vinculada ao serviço

Quando faz login em uma das contas-membro convidadas da organização, você pode aprovar uma solicitação na conta de gerenciamento. Se sua conta foi originalmente convidada a ingressar na organização, o convite será para ativar todos os recursos e implicitamente incluir a aprovação para recriar a função AWSServiceRoleForOrganizations, se necessário. Se a sua conta tiver sido criada usando o AWS Organizations e você excluiu a função vinculada ao serviço AWSServiceRoleForOrganizations, receberá um convite apenas para recriar a função. Para fazer isso, conclua as seguintes etapas.

Importante

Se você executar as etapas no procedimento a seguir, a conta de gerenciamento da organização poderá aplicar controles baseados em políticas na sua conta-membro. Esses controles podem restringir o que os usuários e até mesmo o que você, como administrador, poderá fazer na conta. Essas restrições podem impedir que sua conta saia da organização.

Permissões mínimas

Para aprovar uma solicitação para ativar todos os recursos para a sua conta membro, você deverá ter as seguintes permissões:

  • organizations:AcceptHandshake

  • organizations:DescribeOrganization – necessário somente ao usar o console do Organizations

  • organizations:ListHandshakesForAccount – necessário somente ao usar o console do Organizations

  • iam:CreateServiceLinkedRole – necessário somente se for preciso recriar a função AWSServiceRoleForOrganizations na conta membro

AWS Management Console

Para aceitar a solicitação de ativação de todos os recursos na organização

  1. Faça login no console do AWS Organizations no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta-membro.

  2. Leia o que significa a aceitação da solicitação para todos os recursos na organização para a sua conta e escolha Aceitar. A página continua mostrando o processo como incompleto até que todas as contas na organização aceitem as solicitações e o administrador da conta de gerenciamento finalize o processo.

AWS CLI & AWS SDKs

Para aceitar a solicitação de ativação de todos os recursos na organização

Para aceitar a solicitação, você deve aceitar o handshake com "Action": "APPROVE_ALL_FEATURES".

  • AWS CLI:

    O exemplo a seguir mostra como listar os handshakes disponíveis para sua conta. O valor de "Id" na quarta linha da saída é o valor que você precisa para o próximo comando.

    $ aws organizations list-handshakes-for-account { "Handshakes": [ { "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" }, { "Id": "111122223333", "Type": "ACCOUNT" } ], "State": "OPEN", "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00", "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00", "Action": "APPROVE_ALL_FEATURES", "Resources": [ { "Value": "c440da758cab44068cdafc812EXAMPLE", "Type": "PARENT_HANDSHAKE" }, { "Value": "o-aa111bb222", "Type": "ORGANIZATION" }, { "Value": "111122223333", "Type": "ACCOUNT" } ] } ] }

    O exemplo a seguir usa o ID do handshake do comando anterior para aceitar esse handshake.

    $ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE { "Handshake": { "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" }, { "Id": "111122223333", "Type": "ACCOUNT" } ], "State": "ACCEPTED", "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00", "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00", "Action": "APPROVE_ALL_FEATURES", "Resources": [ { "Value": "c440da758cab44068cdafc812EXAMPLE", "Type": "PARENT_HANDSHAKE" }, { "Value": "o-aa111bb222", "Type": "ORGANIZATION" }, { "Value": "111122223333", "Type": "ACCOUNT" } ] } }
  • AWS SDKs:

Finalizar o processo para habilitar todos os recursos

Todas as contas-membro convidadas devem aprovar a solicitação para habilitar todos os recursos. Se não houver contas membros convidadas na organização, a página Progresso de ativação de todos os recursos indicará com um banner verde que você pode finalizar o processo.

Permissões mínimas

Para finalizar o processo de ativação de todos os recursos para a organização, você deve ter as seguintes permissões:

  • organizations:AcceptHandshake

  • organizations:ListHandshakesForOrganization

  • organizations:DescribeOrganization – necessário somente ao usar o console do Organizations

AWS Management Console

Para finalizar o processo para ativar todos os recursos

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Settings (Configurações), se todas as contas convidadas aceitarem a solicitação para habilitar todos os recursos, uma caixa verde aparecerá na parte superior da página para informar você. Na caixa verde, escolha Go to finalize (Ir para finalizar).

  3. Na página Enable all features (Habilitar todos os recursos), escolha Finalize (Finalizar) e, na caixa de diálogo de confirmação, escolha Finalize (Finalizar) novamente.

  4. A organização agora tem todos os recursos ativados.

AWS CLI & AWS SDKs

Para finalizar o processo para ativar todos os recursos

Para finalizar o processo, você deve aceitar o handshake com "Action": "ENABLE_ALL_FEATURES".

  • AWS CLI:

    $ aws organizations list-handshakes-for-organization { "Handshakes": [ { "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "OPEN", "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00", "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-aa111bb222", "Type": "ORGANIZATION" } ] } ] }

    O exemplo a seguir mostra como listar os handshakes disponíveis para a organização. O valor de "Id" na quarta linha da saída é o valor que você precisa para o próximo comando.

    $ aws organizations accept-handshake \ --handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE { "Handshake": { "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "ACCEPTED", "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00", "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-aa111bb222", "Type": "ORGANIZATION" } ] } }
  • AWS SDKs:

Os próximos passos: