本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
檢視 Organizations 的上次存取資訊
您可以檢視 AWS Organizations 使用IAM主控台 AWS CLI或 的服務上次存取資訊 AWS API。如需關於資料、必要許可、疑難排解及支援區域的重要資訊,請參閱使用上次存取資訊,以縮小 AWS 中的許可範圍。
當您使用 AWS Organizations 管理帳戶憑證登入IAM主控台時,您可以檢視組織中任何實體的資訊。組織實體包括組織根、組織單位 (OUs) 和帳戶。您也可以使用IAM主控台來檢視組織中任何服務控制政策 (SCPs) 的資訊。IAM 顯示SCPs適用於實體的任何 允許的 服務清單。對於每個服務,您可以檢視針對所選擇 Organizations 實體或是該實體的子系的最近帳戶活動資訊。
當您使用 AWS CLI 或 AWS API 搭配管理帳戶憑證時,您可以為組織中的任何實體或政策產生報告。實體的程式設計報告包含任何SCPs適用於實體的服務清單。對於每個服務,報告包含指定 Organizations 實體或實體子目錄中的最新帳戶活動。
當您產生政策的程式設計報告時,您必須指定 Organizations 實體。此報告包含指定 允許的服務清單SCP。對於每個服務,其包含由政策授予許可之實體或實體子系的最新帳戶活動。如需詳細資訊,請參閱 aws iam generate-organizations-access-report 或 GenerateOrganizationsAccessReport。
檢視報告之前,請確認您了解管理帳戶需求和資訊、報告期間、回報實體和評估的政策類型。如需詳細資訊,請參閱 關於上次存取資訊的注意事項。
了解 AWS Organizations 實體路徑
當您使用 AWS CLI 或 AWS API 產生 AWS Organizations 存取報告時,您必須指定實體路徑。路徑是 Organizations 實體結構的文字表示。
您可以使用組織已知的結構來建立實體路徑。例如,假設您在 中有下列組織結構 AWS Organizations。
Dev Manager OU 的路徑是使用IDs組織、根目錄和路徑OUs中所有 到 OU 的 建置。
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
生產 OU 中帳戶的路徑是使用組織、根、OU 和 帳戶號碼IDs的 建置。
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111/
注意
組織IDs是全域唯一的,但 OU IDs和根僅在組織中IDs是唯一的。這表示沒有兩個組織共用相同的組織 ID。不過,另一個組織的 OU 或根可能與您的 ID 相同。我們建議您在指定 OU 或根時,一律包含組織 ID。
檢視 Organizations 的資訊 (主控台)
您可以使用IAM主控台來檢視根、OU、帳戶或政策的上次存取服務資訊。
檢視根目錄的資訊 (主控台)
-
AWS Management Console 使用 Organizations 管理帳戶憑證登入 ,並在 開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
在導覽窗格的 Access reports (存取報告) 區段下方,選擇 Organization activity (組織活動)。
-
在 Organization activity (組織活動) 頁面,選擇 Root (根)。
-
在 Details and activity (詳細資訊與活動) 索引標籤上檢視 Service access report (服務存取報告) 部分。該資訊包含直接連接至根目錄之政策所允許的服務清單。該資訊會為您顯示服務上次存取哪個帳戶的服務,以及存取時間。如需存取服務之主體的詳細資訊,請以該帳戶的管理員身分登入,並檢視IAM服務上次存取的資訊。
-
選擇連接SCPs索引標籤,以檢視連接到根目錄的服務控制政策 (SCPs) 清單。IAM 顯示每個政策所連接的目標實體數量。您可以使用此資訊來決定SCP要檢閱哪些項目。
-
選擇 的名稱SCP,以檢視政策允許的所有服務。對於每個服務,可從中檢視服務上次存取哪個帳戶的服務,以及存取時間。
-
選擇在 中編輯 AWS Organizations,以檢視其他詳細資訊,並在 Organizations 主控台SCP中編輯 。如需詳細資訊,請參閱 使用者指南 中的更新 SCP 。 AWS Organizations
檢視 OU 或帳戶的資訊 (主控台)
-
AWS Management Console 使用 Organizations 管理帳戶憑證登入 ,並在 開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
在導覽窗格的 Access reports (存取報告) 區段下方,選擇 Organization activity (組織活動)。
-
在 Organization activity (組織活動)頁面,展開組織的結構。然後,選擇 OU 或您要檢視任何帳戶的名稱 (管理帳戶除外)。
-
在 Details and activity (詳細資訊與活動) 索引標籤上檢視 Service access report (服務存取報告) 部分。資訊包含SCPs附加至 OU 或 帳戶及其所有父項的 所允許的服務清單。該資訊會為您顯示服務上次存取哪個帳戶的服務,以及存取時間。如需存取服務之主體的詳細資訊,請以該帳戶的管理員身分登入,並檢視IAM服務上次存取的資訊。
-
選擇連接SCPs索引標籤,以檢視直接連接到 OU 或帳戶的服務控制政策 (SCPs) 清單。IAM 顯示每個政策所連接的目標實體數量。您可以使用此資訊來決定SCP要檢閱哪些項目。
-
選擇 的名稱SCP,以檢視政策允許的所有服務。對於每個服務,可從中檢視服務上次存取哪個帳戶的服務,以及存取時間。
-
選擇在 中編輯 AWS Organizations,以檢視其他詳細資訊,並在 Organizations 主控台SCP中編輯 。如需詳細資訊,請參閱 使用者指南 中的更新 SCP 。 AWS Organizations
檢視管理帳戶的資訊 (主控台)
-
AWS Management Console 使用 Organizations 管理帳戶憑證登入 ,並在 開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
在導覽窗格的 Access reports (存取報告) 區段下方,選擇 Organization activity (組織活動)。
-
在 Organization activity (組織活動) 頁面,展開組織的結構,然後選擇管理帳戶的名稱。
-
在 Details and activity (詳細資訊與活動) 索引標籤上檢視 Service access report (服務存取報告) 部分。這些資訊包括所有 AWS 服務的清單。管理帳戶不受 的限制SCPs。該資訊會為您顯示帳戶上次是否存取服務,以及存取的時間。如需存取服務之主體的詳細資訊,請以該帳戶的管理員身分登入,並檢視IAM服務上次存取的資訊。
-
選擇連接SCPs索引標籤以確認沒有連接,SCPs因為帳戶是管理帳戶。
檢視政策的資訊 (主控台)
-
AWS Management Console 使用 Organizations 管理帳戶憑證登入 ,並在 開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
在存取報告區段下方的導覽窗格中,選擇服務控制政策 (SCPs)。
-
在服務控制政策 (SCPs) 頁面上,檢視組織中的政策清單。您可以檢視每個政策連接的目標實體數量。
-
選擇 的名稱SCP,以檢視政策允許的所有服務。對於每個服務,可從中檢視服務上次存取哪個帳戶的服務,以及存取時間。
-
選擇在 中編輯 AWS Organizations,以檢視其他詳細資訊,並在 Organizations 主控台SCP中編輯 。如需詳細資訊,請參閱 使用者指南 中的更新 SCP 。 AWS Organizations
檢視 Organizations 的資訊 (AWS CLI)
您可以使用 AWS CLI 來擷取 Organizations 根、OU、帳戶或政策的上次存取服務資訊。
檢視 Organizations 服務上次存取的資訊 (AWS CLI)
-
將 Organizations 管理帳戶憑證與必要的 IAM 和 Organizations 許可搭配使用,並確認 SCPs 已針對您的根啟用 。如需詳細資訊,請參閱關於上次存取資訊的注意事項。
-
產生報告。要求必須包含您希望產生報告的 Organizations 實體 (根帳戶、OU 或帳戶) 路徑。您可以選擇包含
organization-policy-id
參數,以檢視特定政策的報告。命令會傳回job-id
,然後您可將它用於get-organizations-access-report
命令以監控job-status
,直到任務完成為止。 -
使用上個步驟的
job-id
參數來擷取報告的詳細資訊。此命令會傳回實體成員可以存取的服務清單。對於每個服務,命令會傳回帳戶成員上次嘗試存取的日期及時間,以及帳戶的實體路徑。它還會傳回可用來存取的服務數量,以及並未存取的服務數量。如果您指定選用的
organizations-policy-id
參數,則可存取的服務就是指定政策允許的服務。
檢視 Organizations 的資訊 (AWS API)
您可以使用 AWS API來擷取 Organizations 根、OU、帳戶或政策的上次存取服務資訊。
檢視 Organizations 服務上次存取的資訊 (AWS API)
-
將 Organizations 管理帳戶憑證與必要的 IAM 和 Organizations 許可搭配使用,並確認 SCPs 已針對您的根啟用 。如需詳細資訊,請參閱關於上次存取資訊的注意事項。
-
產生報告。要求必須包含您希望產生報告的 Organizations 實體 (根帳戶、OU 或帳戶) 路徑。您可以選擇包含
OrganizationsPolicyId
參數,以檢視特定政策的報告。操作會傳回JobId
,您可將它用於GetOrganizationsAccessReport
操作以監控JobStatus
,直到任務完成為止。 -
使用上個步驟的
JobId
參數來擷取報告的詳細資訊。此操作會傳回實體成員可以存取的服務清單。對於每個服務,操作會傳回帳戶成員上次嘗試存取的日期及時間,以及帳戶的實體路徑。它還會傳回可用來存取的服務數量,以及並未存取的服務數量。如果您指定選用的
OrganizationsPolicyId
參數,則可存取的服務就是指定政策允許的服務。