本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Organizations 啟用所有功能的標準遷移程序
本主題說明如何使用標準遷移程序啟用所有功能。
## 步驟 1:請求受邀的帳戶核准遷移 (管理帳戶)
當您使用組織管理帳戶登入時,您可以開始啟用所有功能的程序。若要執行此動作,請執行下列步驟。
**最低許可**
若要啟用組織中的所有功能,您必須擁有下列許可:
`organizations:EnableAllFeatures`
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
------
#### [ AWS 管理主控台 ]
**要求獲邀請的成員帳戶接受啟用組織中的所有功能**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[Settings (設定)](https://console.aws.amazon.com/organizations/v2/home/settings)** 頁面中,選擇 **Begin process to enable all features (開始啟用所有功能的程序)**。
1. 在 **[Enable all features](https://console.aws.amazon.com/organizations/v2/home/settings/enable-all-features)** (啟用所有功能) 頁面上,確認您了解在切換後透過選擇 **Begin process to enable all featers** (開始程序以啟用所有功能),無法傳回僅合併帳單功能。
AWS Organizations 會向組織中的每個受邀 (未建立) 帳戶傳送請求,要求核准以啟用組織中的所有功能。如果您有任何使用 建立的帳戶, AWS Organizations 且成員帳戶管理員已刪除名為 的服務連結角色`AWSServiceRoleForOrganizations`, 會 AWS Organizations 傳送重新建立角色的請求給該帳戶。
主控台會隨即顯示受邀帳戶的**請求核准狀態**清單。
**提示**
若要稍後返回此頁面,請開啟 **[Settings](https://console.aws.amazon.com/organizations/v2/home/settings)** (設定) 頁面,並在 **Request sent *date*** (已傳送請求日期) 區段中,選擇 **View status** (檢視狀態)。
1. **[Enable all features](https://console.aws.amazon.com/organizations/v2/home/settings/enable-all-features)** (啟用所有功能) 頁面會顯示組織中每個帳戶目前的請求狀態。已接受請求的帳戶會顯示 **ACCEPTED** (已接受) 狀態。尚未同意的帳戶會顯示 **OPEN** (未決) 狀態。
------
#### [ AWS CLI & AWS SDKs ]
**要求獲邀請的成員帳戶接受啟用組織中的所有功能**
您可以使用下列其中一項命令來啟用組織中的所有功能:
+ AWS CLI: [enable-all-features](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-all-features.html)
下列命令會開始在組織中啟用所有功能的程序。
```
$ aws organizations enable-all-features
{
"Handshake": {
"Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "REQUESTED",
"RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00",
"ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-a1b2c3d4e5",
"Type": "ORGANIZATION"
}
]
}
}
```
輸出會顯示受邀成員帳戶必須同意的交握詳細資訊。
+ AWS SDKs:[EnableAllFeatures](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAllFeatures.html)
------
**備註**
當請求傳送到成員帳戶時,即開始 90 天的倒數計時。所有帳戶必須在該時間內核准請求,否則請求會過期。如果請求過期,與此嘗試相關的所有請求都會取消,而且您必須從步驟 2 重新開始。
一旦您要求啟用所有功能,現有未接受的帳戶邀請將全部遭到取消。
在所有功能遷移過程中,您仍然可以啟動新帳戶邀請和建立新帳戶。
在組織中的所有受邀帳戶核准其請求之後,您就可以完成程序並啟用所有功能。如果您的組織沒有任何*受邀*成員帳戶,您也可以立即完成程序。若要完成此程序,請繼續[步驟 3:完成遷移程序以啟用所有功能 (管理帳戶)](#finalize-migration)。
## 步驟 2:核准啟用所有功能或重新建立服務連結角色 (邀請帳戶) 的請求
以其中一個組織的受邀成員帳戶登入時,您可以從管理帳戶核准請求。如果您的帳戶原先獲邀請加入組織,該邀請是要啟用所有功能並隱含包含核准重新建立 `AWSServiceRoleForOrganizations` 角色 (必要時)。如果您的帳戶是使用 建立, AWS Organizations 而且您刪除了`AWSServiceRoleForOrganizations`服務連結角色,則您只會收到重新建立角色的邀請。若要執行此動作,請執行下列步驟。
**重要**
如果您啟用所有功能,則組織中的管理帳戶可以對您的成員帳戶套用以政策為基礎的控制。對於使用者,甚至身為管理員的您,這些控制可以限制在您的帳戶中能夠執行什麼動作。這類限制可能會使您的帳戶無法離開組織。
**最低許可**
若要核准為您的成員帳戶啟用所有功能的請求,成員帳戶必須具有下列許可:
`organizations:AcceptHandshake`
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:ListHandshakesForAccount` – 僅在使用 Organizations 主控台時才需要
`iam:CreateServiceLinkedRole` – 只有在必須在成員帳戶中重新建立 `AWSServiceRoleForOrganizations` 角色時才為必要
------
#### [ AWS 管理主控台 ]
**接受在組織中啟用所有功能的請求**
1. 在 AWS Organizations 主控台登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者的身分登入,擔任 IAM 角色,或以成員帳戶中的根使用者身分登入 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 了解接受組織中所有功能對您的帳戶所代表的意義,然後選擇 **Accept (接受)**。此頁面會繼續將程序顯示為未完成,直到組織中的所有帳戶接受請求,並且管理帳戶的管理員完成程序為止。
------
#### [ AWS CLI & AWS SDKs ]
**接受在組織中啟用所有功能的請求**
若要接受請求,您必須接受與 `"Action": "APPROVE_ALL_FEATURES"` 的交握。
+ AWS CLI:
+ [accept-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/accept-handshake.html)
+ [list-handshakes-for-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-account.html)
下列範例顯示如何列出帳戶可用的交握。輸出的第四行中 `"Id"` 的值是下一個命令所需的值。
```
$ aws organizations list-handshakes-for-account
{
"Handshakes": [
{
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
]
}
```
下列範例會使用上一個命令的交握 ID 來接受交握。
```
$ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE
{
"Handshake": {
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
}
```
+ AWS SDKs:
+ [list-handshakes-for-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-account.html)
+ [AcceptHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AcceptHandshake.html)
------
## 步驟 3:完成遷移程序以啟用所有功能 (管理帳戶)
所有獲邀的成員帳戶都需核准請求,才能啟用所有功能。如果組織中沒有任何獲邀請的成員帳戶,**Enable all features progress (啟用組織中的所有功能進度)** 頁面會以綠色橫幅表示您可以完成程序。
**最低許可**
若要完成啟用組織中的所有功能的程序,您必須擁有下列許可:
`organizations:AcceptHandshake`
`organizations:ListHandshakesForOrganization`
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
------
#### [ AWS 管理主控台 ]
**完成啟用所有功能的程序**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[Settings](https://console.aws.amazon.com/organizations/v2/home/settings)** (設定) 頁面上,如果所有受邀帳戶接受啟用所有功能的請求,頁面上方會出現綠色方塊,以便通知您。在綠色方塊中,選擇 **Go to finalize** (前往完成)。
1. 在 **[Enable all features](https://console.aws.amazon.com/organizations/v2/home/settings/enable-all-features)** (啟用所有功能) 頁面中,選擇 **Finalize** (完成),然後在確認對話方塊中,選擇 **Finalize** (完成)。
1. 組織現在已啟用所有功能。
------
#### [ AWS CLI & AWS SDKs ]
**完成啟用所有功能的程序**
若要完成該程序,您必須接受與 `"Action": "ENABLE_ALL_FEATURES"` 的交握。
+ AWS CLI:
+ [list-handshakes-for-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-organization.html)
+ [accept-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/accept-handshake.html)
```
$ aws organizations list-handshakes-for-organization
{
"Handshakes": [
{
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
]
}
```
下列範例示範如何列出組織可用的交握。輸出的第四行中 `"Id"` 的值是下一個命令所需的值。
```
$ aws organizations accept-handshake \
--handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE
{
"Handshake": {
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
}
```
+ AWS SDKs:
+ [ListHandshakesForOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListHandshakesForOrganization.html)
+ [AcceptHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AcceptHandshake.html)
------