As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Habilitar todos os recursos na organização
AWS Organizations tem dois conjuntos de recursos disponíveis:
-
Todos os recursos — Esse conjunto de recursos é a forma preferida de trabalhar com AWS Organizations ele e inclui recursos de consolidação de faturamento. Quando você cria uma organização, a habilitação de todos os recursos é o padrão. Com todos os recursos habilitados, você pode usar os recursos avançados de gerenciamento de contas disponíveis AWS Organizations , como a integração com políticas de gerenciamento organizacional Serviços da AWS e suportadas.
-
Recursos de faturamento consolidado – Todas as organizações suportam este subconjunto de recursos de faturamento consolidado, que fornece ferramentas de gerenciamento básicas que você pode usar para gerenciar centralmente as contas de sua organização.
Se você criar uma organização apenas com os recursos de faturamento consolidado, poderá habilitar todos os recursos posteriormente. Esta página descreve o processo de habilitação de todos os recursos.
Antes de habilitar todos os recursos
Antes de mudar de uma organização que oferece suporte apenas a recursos de faturamento consolidado para uma organização que oferece suporte a todos os recursos, observe o seguinte:
-
Quando você inicia o processo para ativar todos os recursos, AWS Organizations envia uma solicitação para cada conta de membro que você convidou para participar da sua organização. Cada conta convidada deve aprovar a ativação de todos os recursos aceitando a solicitação. Somente então você poderá concluir o processo para ativar todos os recursos em sua organização. Se uma conta recusar a solicitação, você deve remover a conta de sua organização ou reenviar a solicitação. A solicitação deve ser aceita antes que você possa concluir o processo de habilitação de todos os recursos. As contas que você criou usando o AWS Organizations não recebem uma solicitação porque não precisam aprovar o controle adicional.
-
Você pode continuar convidando contas para sua organização enquanto habilita todos os recursos. O proprietário de uma conta convidada é informado pelo convite se ele está ingressando em uma organização apenas com faturamento consolidado ou com todos os recursos habilitados.
-
Se você convidar uma conta durante o processo para habilitar todos os recursos, o convite indica que a organização em que a conta está ingressando tem todos os recursos habilitados. Se você cancelar o processo para habilitar todos os recursos antes que a conta aceite o convite, esse convite será cancelado. Você deve convidar a conta novamente para ser membro de uma organização apenas com os recursos de faturamento consolidado.
-
Se você convidar uma conta e o convite não tiver sido aceito antes de você iniciar o processo para habilitar todos os recursos, esse convite é cancelado, porque o convite indica que a organização tem recursos de faturamento consolidados apenas. Você deve convidar a conta novamente para ser membro de uma organização com todos os recursos habilitados.
-
-
Você também pode continuar criando contas na organização. Esse processo não é afetado por essa alteração.
-
AWS Organizations verifica se cada conta de membro tem uma função vinculada ao serviço chamada.
AWSServiceRoleForOrganizations
Essa função é obrigatória em todas as contas para ativar todos os recursos. Se você excluiu a função em uma conta de convidado, aceitar o convite para ativar todos os recursos recria a função. Se você excluiu a função em uma conta que foi criada usando AWS Organizations, essa conta receberá um convite específico para recriar essa função. Todos esses convites devem ser aceitos para a organização concluir o processo de habilitação de todos os recursos. -
Como a ativação de todos os recursos possibilita o uso SCPs, certifique-se de que os administradores de sua conta entendam os efeitos da vinculação SCPs à organização, às unidades organizacionais ou às contas. SCPspode restringir o que os usuários e até mesmo os administradores podem fazer nas contas afetadas. Por exemplo, a conta de gerenciamento pode ser aplicada para impedir SCPs que as contas dos membros saiam da organização.
-
A conta de gerenciamento não é afetada por nenhumaSCP. Você não pode limitar o que os usuários e funções na conta de gerenciamento podem fazer ao se inscreverSCPs. SCPsafetam somente as contas dos membros.
-
A migração de recursos de faturamento consolidado para todos os recursos é unidirecional. Você não pode mudar uma organização com todos os recursos habilitados de volta para apenas recursos de faturamento consolidado.
-
(Não recomendado) Se sua organização tiver apenas recursos de faturamento consolidado habilitados, os administradores da conta-membro podem optar por excluir a função vinculada ao serviço chamada
AWSServiceRoleForOrganizations
. No entanto, quando você habilita todos os recursos em uma organização, essa função é necessária e é recriada em todas as contas como parte da aceitação do convite para habilitar todos os recursos. Para obter mais informações sobre como AWS Organizations usa essa função, consulteAWS Organizations e funções vinculadas ao serviço.
Iniciar processo para habilitar todos os recursos
Quando faz login com permissões na conta de gerenciamento de sua organização, pode iniciar o processo para habilitar todos os recursos. Para fazer isso, conclua as seguintes etapas.
Permissões mínimas
Para ativar todos os recursos em sua organização, você deve ter as seguintes permissões:
-
organizations:EnableAllFeatures
-
organizations:DescribeOrganization
– necessário somente ao usar o console do Organizations
Observações
-
Uma contagem regressiva de 90 dias começa quando a solicitação é enviada para as contas-membro. Todas as contas devem aprovar a solicitação dentro desse período. Caso contrário, a solicitação expirará. Se a validade da solicitação expirar, todas as solicitações relacionadas a essa tentativa são canceladas, e você precisa recomeçar na etapa 2.
-
Após a solicitação para ativar todos os recursos ser feita, todos os convites de conta não aceitos existentes serão cancelados.
-
Durante o processo de migração de todos os recursos, ainda será possível iniciar novos convites para contas e criar novas contas.
Depois que todas as contas da organização aprovarem as solicitações, você poderá finalizar o processo e habilitar todos os recursos. Você também pode finalizar o processo imediatamente caso sua organização não tenha nenhuma conta-membro convidada. Para finalizar o processo, continue com Finalizar o processo para habilitar todos os recursos.
Aprovar solicitação para habilitar todos os recursos ou recriar a função vinculada ao serviço
Quando faz login em uma das contas-membro convidadas da organização, você pode aprovar uma solicitação na conta de gerenciamento. Se sua conta foi originalmente convidada a ingressar na organização, o convite será para ativar todos os recursos e implicitamente incluir a aprovação para recriar a função AWSServiceRoleForOrganizations
, se necessário. Se, em vez disso, sua conta foi criada usando AWS Organizations e você excluiu a função AWSServiceRoleForOrganizations
vinculada ao serviço, você receberá um convite apenas para recriar a função. Para fazer isso, conclua as seguintes etapas.
Importante
Se você habilitar todos os recursos, a conta de gerenciamento da organização poderá aplicar controles baseados em políticas na sua conta-membro. Esses controles podem restringir o que os usuários e até mesmo o que você, como administrador, poderá fazer na conta. Essas restrições podem impedir que sua conta saia da organização.
Permissões mínimas
Para aprovar uma solicitação para ativar todos os recursos para a sua conta membro, você deverá ter as seguintes permissões:
-
organizations:AcceptHandshake
-
organizations:DescribeOrganization
– necessário somente ao usar o console do Organizations -
organizations:ListHandshakesForAccount
– necessário somente ao usar o console do Organizations -
iam:CreateServiceLinkedRole
– necessário somente se for preciso recriar a funçãoAWSServiceRoleForOrganizations
na conta membro
Finalizar o processo para habilitar todos os recursos
Todas as contas-membro convidadas devem aprovar a solicitação para habilitar todos os recursos. Se não houver contas membros convidadas na organização, a página Progresso de ativação de todos os recursos indicará com um banner verde que você pode finalizar o processo.
Permissões mínimas
Para finalizar o processo de ativação de todos os recursos para a organização, você deve ter as seguintes permissões:
-
organizations:AcceptHandshake
-
organizations:ListHandshakesForOrganization
-
organizations:DescribeOrganization
– necessário somente ao usar o console do Organizations
Os próximos passos:
-
Habilite os tipos de políticas que você deseja usar. Depois disso, você pode anexar políticas para administrar as contas em sua organização. Para obter mais informações, consulte Gerenciando políticas em AWS Organizations.
-
Habilite a integração com os serviços compatíveis. Para obter mais informações, consulte Usando AWS Organizations com outros Serviços da AWS.