本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# EC2 容量管理器和 AWS Organizations
<a name="services-that-can-integrate-ec2-capacity-manager"></a>

EC2 容量管理器是一种全新的用户界面体验，附带的 API 可供您聚合、查看、分析和管理 EC2 按需型实例、竞价型实例和容量预留中的容量使用情况。向您的 AWS 组织授予 EC2 容量管理器的可信访问权限时，该服务将获得读取所有成员账户的组织成员资格信息的权限。具体而言，容量管理器在成员账户中执行以下操作：从所有成员账户中收集 EC2 使用情况数据（包括按需型实例、竞价型实例和容量预留），以聚合到组织范围的容量报告和控制面板中。该服务不会修改成员账户中的资源或配置，只读取已由 AWS收集的使用情况遥测数据。这让组织管理员能够通过单个控制面板查看整合后的容量利用率、预测未来的需求并优化整个组织的资源分配。有关更多信息，请参阅《Amazon EC2 用户指南》**中的 [EC2 容量管理器](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-manager.html)。

使用以下信息来帮助您将 EC2 容量管理器与集成 AWS Organizations。



## 启用集成时，创建了一个服务相关角色
<a name="integrate-enable-slr-ec2-capacity-manager"></a>

以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 EC2 容量管理器在您组织中的组织账户内执行支持的操作。

只有在禁用 EC2 容量管理器和 Organizations 之间的可信访问权限，或者从组织中移除成员账户时，您才能删除或修改此角色。

以下服务关联角色会在您启用可信访问权限时于管理账户中创建。此角色允许 EC2 容量管理器在您的组织及其账户中代表您执行任务。

只有在禁用 EC2 Capacity Manager 与之间的可信访问权限或从组织中删除成员账户时 AWS Organizations，才能删除或修改此角色。有关更多信息，请参阅 A *mazon EC2 用户指南*[中的 EC2 容量AWS 管理器使用服务相关角色](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-service-linked-roles-cm.html)[和托管策略： AWSEC2CapacityManagerServiceRolePolicy](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSEC2CapacityManagerServiceRolePolicy)。
+ `AWSServiceRoleForEC2CapacityManager`— 允许 EC2 容量管理器代表您访问由 EC2 容量管理器使用或管理的 AWS 服务和资源。

## EC2 容量管理器使用的服务主体
<a name="integrate-enable-svcprin-ec2-capacity-manager"></a>

上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。EC2 容量管理器使用的服务关联角色为以下服务主体授予访问权限：
+ `ec2.capacitymanager.amazonaws.com`

## 启用 EC2 容量管理器的可信访问权限
<a name="integrate-enable-ta-ec2-capacity-manager"></a>

有关启用信任访问权限所需权限的信息，请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。

当您向您的 AWS 组织授予 EC2 Capacity Manager 的可信访问权限时，该服务将获得读取所有成员账户的组织成员资格信息的权限。这让组织管理员能够通过单个控制面板查看整合后的容量利用率、预测未来的需求并优化整个组织的资源分配。

您可以使用 EC2 容量管理器控制台或 AWS Organizations 控制台启用可信访问权限。

**重要**  
强烈建议您尽可能使用 EC2 容量管理器控制台或工具来实现与 Organizations 的集成。这可让 EC2 容量管理器执行所需的任何配置，例如创建服务所需的资源。请仅在您无法使用 EC2 容量管理器提供的工具启用集成时执行这些步骤。有关更多信息，请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 EC2 容量管理器控制台或工具启用可信访问权限，则您无需完成这些步骤。

要从 EC2 容量管理器控制台启用可信访问权限，请以管理员身份登录管理账户，然后打开 Amazon EC2 控制台。导航到容量管理器，然后转到“设置”选项卡。在“可信访问权限”部分，选择**管理可信访问权限**将其启用。

您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。

------
#### [ AWS 管理控制台 ]

**要使用 Organizations 控制台启用信任服务访问权限，请执行以下操作：**

1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（[不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)）。

1. 在导航窗格中，选择**服务**。

1. 在服务列表中选择 **EC2 容量管理器**。

1. 选择 **Enable trusted access (启用可信访问)**。

1. 在**启用 EC2 容量管理器可信访问权限**对话框中，输入**启用**进行确认，然后选择**启用可信访问权限**。

1. 如果您仅是的管理员 AWS Organizations，请告诉 EC2 Capacity Manager 的管理员，他们现在可以 AWS Organizations 从服务控制台启用该服务。

------
#### [ AWS CLI, AWS API ]

**使用 OrganizationsCLI/SDK 启用信任服务访问权限**  
使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  运行以下命令，允许将 EC2 容量管理器作为 Organizations 的可信服务。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal ec2.capacitymanager.amazonaws.com
  ```

  如果成功，此命令不会产生任何输出。
+ AWS API：[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 禁用可信访问权限
<a name="integrate-disable-ta-ec2-capacity-manager"></a>

有关禁用信任访问所需权限的信息，请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

要从 EC2 容量管理器控制台禁用可信访问权限，请导航至 Amazon EC2 容量管理器“设置”选项卡。在“可信访问权限”部分，选择**管理可信访问权限**将其禁用。注意：在禁用可信访问权限之前，必须移除所有委派管理员。

您可以使用 EC2 容量管理器或 AWS Organizations 工具禁用可信访问。

**重要**  
强烈建议您尽可能使用 EC2 容量管理器控制台或工具来禁用与 Organizations 的集成。这可让 EC2 容量管理器执行所需的任何清理，例如删除服务不再需要的资源或访问角色。请仅在您无法使用 EC2 容量管理器提供的工具禁用集成时执行这些步骤。  
如果您使用 EC2 容量管理器控制台或工具禁用可信访问权限，则无需完成这些步骤。

您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 禁用信任服务访问权限**  
使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  运行以下命令，禁止将 EC2 容量管理器作为 Organizations 的可信服务。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal ec2.capacitymanager.amazonaws.com
  ```

  如果成功，此命令不会产生任何输出。
+ AWS API：[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 启用 EC2 容量管理器的委派管理员账户
<a name="integrate-enable-da-ec2-capacity-manager"></a>

EC2 容量管理器的委派管理员无需使用管理账户，即可为您的组织管理容量管理器。委派管理员可以启用组织级别的容量管理，查看所有成员账户的容量数据，修改账户级别和组织级别范围之间的设置，以及管理整个组织的容量预测。有关更多信息，请参阅《Amazon EC2 用户指南》中的** [EC2 容量管理器的委派管理员](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enable-capacity-manager-da.html)。

**最小权限**  
只有 Organizations 管理账户中的管理员才能配置 EC2 容量管理器的委派管理员。

您可以导航到“设置和管理委派管理员”，或使用 Organizations `RegisterDelegatedAdministrator` CLI 或 SDK 操作，通过 EC2 容量管理器控制台指定委派管理员账户。要使用 EC2 容量管理器控制台配置委派管理员，请参阅《Amazon EC2 用户指南》**中的[添加委派管理员](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enable-capacity-manager-da.html#add-capacity-manager-da)。

------
#### [ AWS CLI, AWS API ]

您可以使用 AWS CLI 或以下任一方式注册委派管理员账户 AWS SDKs：
+ AWS CLI: [register-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)

  ```
  $ aws organizations register-delegated-administrator \
      --account-id ACCOUNT_ID \
      --service-principal ec2.capacitymanager.amazonaws.com
  ```
+ AWS API: [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)

------

## 禁用 EC2 容量管理器的委派管理员账户
<a name="integrate-disable-da-ec2-capacity-manager"></a>

只有 Organizations 管理账户或 EC2 容量管理器委派管理员账户中的管理员才能从组织中移除委派管理员账户。您可以在“设置”选项卡中选择**移除委派管理员**，或使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作，通过 EC2 容量管理器控制台移除委派管理员。要使用 EC2 容量管理器控制台移除委派管理员，请参阅《Amazon EC2 用户指南》**中的[移除委派管理员](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enable-capacity-manager-da.html#remove-capacity-manager-da)。

------
#### [ AWS CLI, AWS API ]

您可以使用 AWS CLI 或以下任一方法删除委派管理员账户 AWS SDKs：
+ AWS CLI: [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html)

  ```
  $ aws organizations deregister-delegated-administrator \
      --account-id ACCOUNT_ID \
      --service-principal ec2.capacitymanager.amazonaws.com
  ```
+ AWS API: [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)

------