檢視 Organizations 上次存取的資訊
您可以使用 IAM 主控台、AWS CLI 或 AWS API 來檢視 AWS Organizations 的上次存取資訊。如需關於資料、必要許可、疑難排解及支援區域的重要資訊,請參閱使用上次存取的資訊精簡 AWS 的許可。
當您使用 AWS Organizations 管理帳戶認證登入 IAM 主控台時,您可以檢視組織中任何實體的資訊。Organizations 實體包含組織根目錄、組織單位 (OU) 和帳戶。您也可以使用 IAM 主控台來檢視組織中任何服務控制政策 (SCP) 的資訊。IAM 會顯示套用至實體的 SCP 所允許的服務清單。對於每個服務,您可以檢視針對所選擇 Organizations 實體或是該實體的子系的最近帳戶活動資訊。
當您利用管理帳戶憑證來使用 AWS CLI 或 AWS API 時,您可以為組織中的任何實體或政策產生報告。實體的程式設計報告包含套用至實體之任何 SCP 所允許的服務清單。對於每個服務,報告包含指定 Organizations 實體或實體子目錄中的最新帳戶活動。
當您產生政策的程式設計報告時,您必須指定 Organizations 實體。這份報告包含指定 SCP 所允許的服務清單。對於每個服務,其包含由政策授予許可之實體或實體子系的最新帳戶活動。如需詳細資訊,請參閱 aws iam generate-organizations-access-report 或 GenerateOrganizationsAccessReport。
檢視報告之前,請確認您了解管理帳戶需求和資訊、報告期間、回報實體和評估的政策類型。如需詳細資訊,請參閱 關於上次存取資訊的注意事項。
了解 AWS Organizations 實體路徑
當您使用 AWS CLI 或 AWS API 產生 AWS Organizations 存取報告時,必須指定實體路徑。路徑是 Organizations 實體結構的文字表示。
您可以使用組織已知的結構來建立實體路徑。例如,假設您在 AWS Organizations 中具有下列組織結構。

開發人員管理員 OU 的路徑是使用組織 ID、根目錄和路徑中所有的 OU 包含 OU。
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd
生產 OU 中帳戶的路徑是使用組織、根、OU 和帳戶號碼的 ID 建立的。
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111
組織 ID 是全域唯一,但 OU ID 和根 ID 只有在組織內是唯一。這表示沒有兩個組織共用相同的組織 ID。不過,另一個組織的 OU 或根可能與您的 ID 相同。我們建議您在指定 OU 或根時,一律包含組織 ID。
檢視 Organizations 的資訊 (主控台)
您可以使用 IAM 主控台檢視您的根目錄、OU、帳戶或政策的上次存取資訊。
檢視根目錄的資訊 (主控台)
-
前往登入AWS Management Console使用 Organizations 管理帳戶憑證,並在https://console.aws.amazon.com/iam/
。 -
在導覽窗格的 Access reports (存取報告) 區段下方,選擇 Organization activity (組織活動)。
-
在 Organization activity (組織活動) 頁面,選擇 Root (根)。
-
在 Details and activity (詳細資訊與活動) 索引標籤上檢視 Service access report (服務存取報告) 部分。該資訊包含直接連接至根目錄之政策所允許的服務清單。該資訊會為您顯示服務上次存取哪個帳戶的服務,以及存取時間。如需關於哪個委託人存取服務的詳細資訊,請以該帳戶的管理員身分登入帳戶並檢視 IAM 上次存取資訊。
-
選擇 Attached SCPs (連接的 SCP) 索引標籤,檢視連接至根目錄的服務控制政策 (SCP) 清單。IAM 會顯示與每個政策連接的目標實體數量。您可以使用此資訊來決定要檢閱哪些 SCP。
-
選擇 SCP 的名稱,以檢視政策允許的所有服務。對於每個服務,可從中檢視服務上次存取哪個帳戶的服務,以及存取時間。
-
選擇 Edit in AWS Organizations (在 中編輯) 以檢視其他詳細資訊,並在 Organizations 主控台中編輯 SCP。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的更新 SCP。
檢視 OU 或帳戶的資訊 (主控台)
-
前往登入AWS Management Console使用 Organizations 管理帳戶憑證,並在https://console.aws.amazon.com/iam/
。 -
在導覽窗格的 Access reports (存取報告) 區段下方,選擇 Organization activity (組織活動)。
-
在 Organization activity (組織活動)頁面,展開組織的結構。然後,選擇 OU 或您要檢視任何帳戶的名稱 (管理帳戶除外)。
-
在 Details and activity (詳細資訊與活動) 索引標籤上檢視 Service access report (服務存取報告) 部分。該資訊包含 SCP 允許的服務清單,而且這些 SCP 都連接至 OU 或帳戶及其所有父系。該資訊會為您顯示服務上次存取哪個帳戶的服務,以及存取時間。如需關於哪個委託人存取服務的詳細資訊,請以該帳戶的管理員身分登入帳戶並檢視 IAM 上次存取資訊。
-
選擇 Attached SCPs (連接的 SCP) 索引標籤,檢視直接連接至 OU 或帳戶的服務控制政策 (SCP) 清單。IAM 會顯示與每個政策連接的目標實體數量。您可以使用此資訊來決定要檢閱哪些 SCP。
-
選擇 SCP 的名稱,以檢視政策允許的所有服務。對於每個服務,可從中檢視服務上次存取哪個帳戶的服務,以及存取時間。
-
選擇 Edit in AWS Organizations (在 中編輯) 以檢視其他詳細資訊,並在 Organizations 主控台中編輯 SCP。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的更新 SCP。
檢視管理帳戶的資訊 (主控台)
-
前往登入AWS Management Console使用 Organizations 管理帳戶憑證,並在https://console.aws.amazon.com/iam/
。 -
在導覽窗格的 Access reports (存取報告) 區段下方,選擇 Organization activity (組織活動)。
-
在 Organization activity (組織活動) 頁面,展開組織的結構,然後選擇管理帳戶的名稱。
-
在 Details and activity (詳細資訊與活動) 索引標籤上檢視 Service access report (服務存取報告) 部分。這些資訊包括所有 AWS 服務的清單。管理帳戶不受 SCP 限制。該資訊會為您顯示帳戶上次是否存取服務,以及存取的時間。如需關於哪個委託人存取服務的詳細資訊,請以該帳戶的管理員身分登入帳戶並檢視 IAM 上次存取資訊。
-
選擇 Attached SCPs (連接的 SCP) 索引標籤,以確認沒有任何連接的 SCP,因為帳戶就是管理帳戶。
檢視政策的資訊 (主控台)
-
前往登入AWS Management Console使用 Organizations 管理帳戶憑證,並在https://console.aws.amazon.com/iam/
。 -
在導覽窗格的 Access reports (存取報告) 區段下方,選擇 Service control policies (SCPs) (服務控制政策 (SCP))。
-
在Service control policies (SCPs) (服務控制政策 (SCP)) 頁面上,檢視組織的政策清單。您可以檢視每個政策連接的目標實體數量。
-
選擇 SCP 的名稱,以檢視政策允許的所有服務。對於每個服務,可從中檢視服務上次存取哪個帳戶的服務,以及存取時間。
-
選擇 Edit in AWS Organizations (在 中編輯) 以檢視其他詳細資訊,並在 Organizations 主控台中編輯 SCP。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的更新 SCP。
檢視 Organizations 的資訊 (AWS CLI)
您可以使用 AWS CLI 擷取您的 Organizations 根目錄、OU、帳戶或政策的上次存取資訊。
檢視 Organizations 服務上次存取的資訊 (AWS CLI)
-
將您的 Organizations 管理帳戶憑證和必要的 IAM 和 Organizations 許可搭配使用,然後確認已針對根目錄啟用 SCP。如需詳細資訊,請參閱 關於上次存取資訊的注意事項。
-
產生報告。要求必須包含您希望產生報告的 Organizations 實體 (根帳戶、OU 或帳戶) 路徑。您可以選擇包含
organization-policy-id
參數,以檢視特定政策的報告。命令會傳回job-id
,然後您可將它用於get-organizations-access-report
命令以監控job-status
,直到任務完成為止。 -
使用上個步驟的
job-id
參數來擷取報告的詳細資訊。此命令會傳回實體成員可以存取的服務清單。對於每個服務,命令會傳回帳戶成員上次嘗試存取的日期及時間,以及帳戶的實體路徑。它還會傳回可用來存取的服務數量,以及並未存取的服務數量。如果您指定選用的
organizations-policy-id
參數,則可存取的服務就是指定政策允許的服務。
檢視 Organizations 的資訊 (AWS API)
您可以使用 AWS API 擷取您的 Organizations 根目錄、OU、帳戶或政策的上次存取資訊。
檢視 Organizations 服務上次存取的資訊 (AWS API)
-
將您的 Organizations 管理帳戶憑證和必要的 IAM 和 Organizations 許可搭配使用,然後確認已針對根目錄啟用 SCP。如需詳細資訊,請參閱 關於上次存取資訊的注意事項。
-
產生報告。要求必須包含您希望產生報告的 Organizations 實體 (根帳戶、OU 或帳戶) 路徑。您可以選擇包含
OrganizationsPolicyId
參數,以檢視特定政策的報告。操作會傳回JobId
,您可將它用於GetOrganizationsAccessReport
操作以監控JobStatus
,直到任務完成為止。 -
使用上個步驟的
JobId
參數來擷取報告的詳細資訊。此操作會傳回實體成員可以存取的服務清單。對於每個服務,操作會傳回帳戶成員上次嘗試存取的日期及時間,以及帳戶的實體路徑。它還會傳回可用來存取的服務數量,以及並未存取的服務數量。如果您指定選用的
OrganizationsPolicyId
參數,則可存取的服務就是指定政策允許的服務。