本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 管理組織 AWS Organizations
*組織*是 的集合 AWS 帳戶 ,您可以集中管理,並組織成階層式的樹狀結構,其中根位於根目錄頂端,而組織單位巢狀在根目錄下。每個帳戶都可以直接放在根帳戶中,或放在階層中的其中一個 OU 中。
每個組織都包含:
+ 管理帳戶
+ 零個或多個成員帳戶
+ 零個或多個組織單位 OUs)
+ 零或多個政策。
組織具有的功能取決於您啟用的[功能集](orgs_getting-started_concepts.md#feature-set)。
**Topics**
+ [建立組織](orgs_manage_org_create.md)
+ [驗證您的電子郵件地址](about-email-verification.md)
+ [重新傳送驗證電子郵件](about-email-verification-resend.md)
+ [變更您的電子郵件地址](about-email-verification-change-email.md)
+ [啟用所有功能](orgs_manage_org_support-all-features.md)
+ [檢視組織的詳細資訊](orgs_view_org.md)
+ [刪除組織](orgs_manage_org_delete.md)
# 使用 建立組織 AWS Organizations
您可以使用 AWS 帳戶 做為管理帳戶來建立組織。當您建立組織時,您可以選擇該組織是否支援[所有功能 (建議) ](orgs_getting-started_concepts.md#feature-set-all)或僅[支援合併帳單](orgs_getting-started_concepts.md#feature-set-cb-only)。根據預設,您建立的組織支援所有功能。
## 建立組織
您可以使用 或使用來自 AWS 管理主控台 或 AWS CLI 其中一個 SDK APIs命令來建立組織。
**最低許可**
若要使用您目前的 建立組織 AWS 帳戶,您必須具有下列許可:
`organizations:CreateOrganization`
`iam:CreateServiceLinkedRole`
您可以將此許可限制為僅限服務委託人 `organizations.amazonaws.com`。
### AWS 管理主控台
**建立組織**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在預設情況下,您建立的組織會啟用所有功能。但是,您可以選擇下列其中一個步驟:
+ 若要建立已啟用所有功能的組織,在簡介頁面上,選擇 **Create an organization** (建立組織)。
+ 若要建立僅具有合併帳單功能的組織,請在「簡介」頁面和 **Create an organization** (建立組織) 下,選擇 **consolidated billing features** (合併帳單功能),然後在 Confirmation (確認) 對話方塊中,選擇 **Create an organization** (建立組織)。
如果您不小心選擇了錯誤的選項,您可以立即前往 **[Settings](https://console.aws.amazon.com/organizations/v2/home/settings)** (設定) 頁面,然後選擇 **Delete organization** (刪除組織),並重新開始
1. 組織會隨即建立,且 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面會隨即出現。唯一存在的帳戶是您的管理帳戶,並且其目前存放在[根組織單位 (OU)](orgs_getting-started_concepts.md#root)。
如有必要,Organizations 會自動傳送驗證電子郵件至與您管理帳戶關聯的地址。在您收到驗證電子郵件之前,可能會有一些延遲的時間。請在 24 小時內驗證您的電子郵件地址。如需詳細資訊,請參閱[使用 的電子郵件地址驗證 AWS Organizations](about-email-verification.md)。您可以建立帳戶以發展您的組織,而不驗證您的管理帳戶的電子郵件地址。不過,若要邀請現有的帳戶,您必須先完成電子郵件驗證。
**注意**
如果此帳戶之前已驗證其電子郵件地址,則在您使用該帳戶建立組織時,就不會再發生這種情況。
### AWS CLI & AWS SDKs
下列程式碼範例示範如何使用 `CreateOrganization`。
------
#### [ .NET ]
**適用於 .NET 的 SDK**
GitHub 上提供更多範例。尋找完整範例,並了解如何在 [AWS 程式碼範例儲存庫](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)中設定和執行。
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Creates an organization in AWS Organizations.
///
public class CreateOrganization
{
///
/// Creates an Organizations client object and then uses it to create
/// a new organization with the default user as the administrator, and
/// then displays information about the new organization.
///
public static async Task Main()
{
IAmazonOrganizations client = new AmazonOrganizationsClient();
var response = await client.CreateOrganizationAsync(new CreateOrganizationRequest
{
FeatureSet = "ALL",
});
Organization newOrg = response.Organization;
Console.WriteLine($"Organization: {newOrg.Id} Main Accoount: {newOrg.MasterAccountId}");
}
}
```
+ 如需 API 詳細資訊,請參閱《適用於 .NET 的 AWS SDK API 參考》**中的 [CreateOrganization](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateOrganization)。
------
#### [ CLI ]
**AWS CLI**
**範例 1:建立新組織**
Bill 想要使用帳戶 111111111111 的憑證來建立組織。下列範例顯示帳戶成為新組織中的主要帳戶。由於他未指定功能集,因此新組織會預設為啟用所有功能,並在根帳戶上啟用服務控制政策。
```
aws organizations create-organization
```
輸出包含一個組織物件,其中包含新組織的詳細資訊:
```
{
"Organization": {
"AvailablePolicyTypes": [
{
"Status": "ENABLED",
"Type": "SERVICE_CONTROL_POLICY"
}
],
"MasterAccountId": "111111111111",
"MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111",
"MasterAccountEmail": "bill@example.com",
"FeatureSet": "ALL",
"Id": "o-exampleorgid",
"Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid"
}
}
```
**範例 2:建立僅啟用合併帳單功能的新組織**
下列範例會建立僅支援合併帳單功能的組織:
```
aws organizations create-organization --feature-set CONSOLIDATED_BILLING
```
輸出包含一個組織物件,其中包含新組織的詳細資訊:
```
{
"Organization": {
"Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid",
"AvailablePolicyTypes": [],
"Id": "o-exampleorgid",
"MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111",
"MasterAccountEmail": "bill@example.com",
"MasterAccountId": "111111111111",
"FeatureSet": "CONSOLIDATED_BILLING"
}
}
```
如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的建立組織。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [CreateOrganization](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-organization.html)。
------
建立組織之後,您可以透過這些方式從管理帳戶將帳戶新增至您的組織:
+ [建立會自動新增至組織作為成員帳戶的其他 AWS 帳戶](orgs_manage_accounts_create.md) 帳戶
+ [驗證您的電子郵件地址](about-email-verification.md)後,[邀請現有的 AWS 帳戶](orgs_manage_accounts_invite-account.md) 加入您的組織做為成員帳戶。
# 使用 的電子郵件地址驗證 AWS Organizations
在您建立組織之後,以及在您可以邀請帳戶加入之前,必須驗證您擁有組織中為管理帳戶提供的電子郵件地址。
當您建立組織時,如果管理帳戶先前尚未驗證, AWS 會自動將驗證電子郵件傳送至指定的電子郵件地址。在您收到驗證電子郵件之前,可能會有一些延遲的時間。
## 驗證電子郵件地址
請在 24 小時內,遵循電子郵件中的指示來驗證您的電子郵件地址。如果超過 24 小時,請參閱[重新傳送驗證電子郵件](about-email-verification-resend.md)。
# 使用 重新傳送驗證電子郵件 AWS Organizations
如果您未在 24 小時內驗證您的電子郵件地址,您可以重新傳送驗證請求。驗證您的電子郵件地址後,您可以邀請其他人 AWS 帳戶 加入您的組織。如果您未收到驗證電子郵件,請檢查您的電子郵件地址是否正確,並在必要時修改。
+ 若要進一步了解與您的管理帳戶關聯的電子郵件地址,請參閱[從管理帳戶檢視組織的詳細資訊](orgs_view_org.md)。
+ 若要變更與您的管理帳戶關聯的電子郵件地址,請參閱*AWS Billing 使用者指南*中的[管理 AWS 帳戶](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html)。
------
#### [ AWS 管理主控台 ]
**重新傳送驗證請求**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 導覽至 **[Settings](https://console.aws.amazon.com/organizations/v2/home/settings)** (設定) 頁面,然後選擇 **Send verification request** (傳送驗證請求)。只有在未驗證管理帳戶時,才會出現此選項。
1. 請在 24 小時內驗證您的電子郵件地址。
------
驗證您的電子郵件地址後,您將可邀請其他 AWS 帳戶 加入您的組織。如需詳細資訊,請參閱[使用 管理帳戶邀請 AWS Organizations](orgs_manage_accounts_invites.md)。
# 使用 變更組織的電子郵件地址 AWS Organizations
若要變更與管理帳戶相關聯的電子郵件地址,請參閱《 *AWS 帳戶管理 參考指南*》中的[更新根使用者 AWS 帳戶 的名稱、電子郵件地址或密碼](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)。
若您變更管理帳戶的電子郵件地址,帳戶的狀態會回復到「電子郵件未驗證」,而您必須完成新電子郵件地址的驗證程序。
**注意**
如果您在變更管理帳戶的電子郵件地址之前邀請帳戶加入組織,且尚未接受這些邀請,則在您驗證管理帳戶的新電子郵件地址之前,都無法接受這些邀請。您必須先[重新傳送驗證請求](about-email-verification-resend.md)。透過回覆電子郵件完成程序後,您邀請的帳戶就可以接受邀請。
# 使用 啟用組織的所有功能 AWS Organizations
AWS Organizations 有兩個可用的功能集:
+ [所有功能](orgs_getting-started_concepts.md#feature-set-all) – 此功能集是偏好和預設的使用方式 AWS Organizations,其中包含合併帳單的所有功能。當您建立組織時,根據預設會啟用所有功能。啟用所有功能後,您可以使用 Organizations 中可用的進階帳戶管理功能,例如[與支援的 AWS 服務和](orgs_integrate_services_list.md)[組織政策](orgs_manage_policies.md)整合。
+ [合併帳單功能](orgs_getting-started_concepts.md#feature-set-cb-only) – 此功能集僅限於跨組織產生單一帳單。合併帳單不提供其他管理功能。
如果您使用合併帳單功能集建立組織,您可以稍後啟用所有功能。不過,在啟用所有功能之後,您無法從所有功能遷移到合併帳單。
**標準遷移和輔助遷移**
遷移至所有功能的兩種方法是*標準遷移*和*輔助遷移*。
標準遷移是所有 AWS Organizations 客戶可用的自助式程序,可啟用所有功能模式。
協助遷移是 Enterprise Support 計劃客戶請求將其組織 AWS 遷移到代表您的所有功能模式的程序。
**注意**
**單向程序和轉返程序**
從合併帳單功能到所有功能的移轉是單向的。啟用組織的所有功能之後,您就無法切換回僅具備合併帳單功能。
在您開始輔助遷移程序之後,就無法復原。如果您想要改為進行標準程序,則需要等待 90 天,直到程序過期為止。
**Topics**
+ [考量事項](#before-enabling-all)
+ [標準遷移程序](manage-begin-all-features-standard-migration.md)
+ [輔助遷移程序](manage-begin-all-features-assisted-migration.md)
## 考量事項
從僅支援合併帳單功能的組織變更為支援所有功能的組織之前,請考慮下列事項:
**受邀帳戶必須核准遷移**
當您開始啟用所有功能的程序時, 會將請求 AWS Organizations 傳送至您*邀請*加入組織的每個成員帳戶。每個獲邀請的帳戶必須透過接受請求來核准啟用所有功能。只有這樣,您才能完成啟用組織中的所有功能的程序。如果帳戶拒絕請求,您必須從組織移除帳戶或重新傳送請求。您必須先接受請求,才能完成啟用所有功能的程序。您使用 AWS Organizations *建立*的帳戶不會收到請求,因為他們不需要核准額外的控制。
**邀請的帳戶會收到通知,告知目前已啟用哪些功能集**
受邀帳戶的擁有者會收到邀請通知,無論他們是加入僅合併帳單的組織,還是啟用了所有功能。您可以在啟用所有功能的同時,繼續邀請帳戶加入您的組織。
如果您在啟用所有功能的程序*期間*邀請帳戶,邀請會指出他們所加入的組織已啟用所有功能。如果您在帳戶接受邀請之前取消啟用所有功能的程序,則該邀請會被取消。您必須再次邀請帳戶成為僅具備合併帳單功能之組織成員。
如果您邀請帳戶但尚未接受邀請*之前*,您就會開始啟用所有功能的程序,該邀請會被取消,因為邀請指出該組織只有合併帳單功能。您必須再次邀請帳戶成為已啟用所有功能之組織的成員。
**在組織中建立帳戶的程序不受遷移影響**
您可以繼續在組織中建立帳戶。該程序不會受到此變更的影響。
**服務連結角色`AWSServiceRoleForOrganizations`為必要**
AWS Organizations 驗證每個成員帳戶是否具有名為 的服務連結角色`AWSServiceRoleForOrganizations`。所有帳戶中均必須有此角色,才能啟用所有功能。如果您刪除獲邀請帳戶中的該角色,接受邀請會啟用重新建立角色的所有功能。如果您在使用 建立的帳戶中刪除角色 AWS Organizations,則該帳戶會收到專門重新建立該角色的邀請。所有的邀請都必須獲得接受,組織才能完成啟用所有功能的程序。
# 使用 Organizations 啟用所有功能的標準遷移程序
本主題說明如何使用標準遷移程序啟用所有功能。
## 步驟 1:請求受邀的帳戶核准遷移 (管理帳戶)
當您使用組織管理帳戶登入時,您可以開始啟用所有功能的程序。若要執行此動作,請執行下列步驟。
**最低許可**
若要啟用組織中的所有功能,您必須擁有下列許可:
`organizations:EnableAllFeatures`
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
------
#### [ AWS 管理主控台 ]
**要求獲邀請的成員帳戶接受啟用組織中的所有功能**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[Settings (設定)](https://console.aws.amazon.com/organizations/v2/home/settings)** 頁面中,選擇 **Begin process to enable all features (開始啟用所有功能的程序)**。
1. 在 **[Enable all features](https://console.aws.amazon.com/organizations/v2/home/settings/enable-all-features)** (啟用所有功能) 頁面上,確認您了解在切換後透過選擇 **Begin process to enable all featers** (開始程序以啟用所有功能),無法傳回僅合併帳單功能。
AWS Organizations 會向組織中的每個受邀 (未建立) 帳戶傳送請求,要求核准以啟用組織中的所有功能。如果您有任何使用 建立的帳戶, AWS Organizations 且成員帳戶管理員已刪除名為 的服務連結角色`AWSServiceRoleForOrganizations`, 會 AWS Organizations 傳送重新建立角色的請求給該帳戶。
主控台會隨即顯示受邀帳戶的**請求核准狀態**清單。
**提示**
若要稍後返回此頁面,請開啟 **[Settings](https://console.aws.amazon.com/organizations/v2/home/settings)** (設定) 頁面,並在 **Request sent *date*** (已傳送請求日期) 區段中,選擇 **View status** (檢視狀態)。
1. **[Enable all features](https://console.aws.amazon.com/organizations/v2/home/settings/enable-all-features)** (啟用所有功能) 頁面會顯示組織中每個帳戶目前的請求狀態。已接受請求的帳戶會顯示 **ACCEPTED** (已接受) 狀態。尚未同意的帳戶會顯示 **OPEN** (未決) 狀態。
------
#### [ AWS CLI & AWS SDKs ]
**要求獲邀請的成員帳戶接受啟用組織中的所有功能**
您可以使用下列其中一項命令來啟用組織中的所有功能:
+ AWS CLI: [enable-all-features](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-all-features.html)
下列命令會開始在組織中啟用所有功能的程序。
```
$ aws organizations enable-all-features
{
"Handshake": {
"Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "REQUESTED",
"RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00",
"ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-a1b2c3d4e5",
"Type": "ORGANIZATION"
}
]
}
}
```
輸出會顯示受邀成員帳戶必須同意的交握詳細資訊。
+ AWS SDKs:[EnableAllFeatures](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAllFeatures.html)
------
**備註**
當請求傳送到成員帳戶時,即開始 90 天的倒數計時。所有帳戶必須在該時間內核准請求,否則請求會過期。如果請求過期,與此嘗試相關的所有請求都會取消,而且您必須從步驟 2 重新開始。
一旦您要求啟用所有功能,現有未接受的帳戶邀請將全部遭到取消。
在所有功能遷移過程中,您仍然可以啟動新帳戶邀請和建立新帳戶。
在組織中的所有受邀帳戶核准其請求之後,您就可以完成程序並啟用所有功能。如果您的組織沒有任何*受邀*成員帳戶,您也可以立即完成程序。若要完成此程序,請繼續[步驟 3:完成遷移程序以啟用所有功能 (管理帳戶)](#finalize-migration)。
## 步驟 2:核准啟用所有功能或重新建立服務連結角色 (邀請帳戶) 的請求
以其中一個組織的受邀成員帳戶登入時,您可以從管理帳戶核准請求。如果您的帳戶原先獲邀請加入組織,該邀請是要啟用所有功能並隱含包含核准重新建立 `AWSServiceRoleForOrganizations` 角色 (必要時)。如果您的帳戶是使用 建立, AWS Organizations 而且您刪除了`AWSServiceRoleForOrganizations`服務連結角色,則您只會收到重新建立角色的邀請。若要執行此動作,請執行下列步驟。
**重要**
如果您啟用所有功能,則組織中的管理帳戶可以對您的成員帳戶套用以政策為基礎的控制。對於使用者,甚至身為管理員的您,這些控制可以限制在您的帳戶中能夠執行什麼動作。這類限制可能會使您的帳戶無法離開組織。
**最低許可**
若要核准為您的成員帳戶啟用所有功能的請求,成員帳戶必須具有下列許可:
`organizations:AcceptHandshake`
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:ListHandshakesForAccount` – 僅在使用 Organizations 主控台時才需要
`iam:CreateServiceLinkedRole` – 只有在必須在成員帳戶中重新建立 `AWSServiceRoleForOrganizations` 角色時才為必要
------
#### [ AWS 管理主控台 ]
**接受在組織中啟用所有功能的請求**
1. 在 AWS Organizations 主控台登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者的身分登入,擔任 IAM 角色,或以成員帳戶中的根使用者身分登入 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 了解接受組織中所有功能對您的帳戶所代表的意義,然後選擇 **Accept (接受)**。此頁面會繼續將程序顯示為未完成,直到組織中的所有帳戶接受請求,並且管理帳戶的管理員完成程序為止。
------
#### [ AWS CLI & AWS SDKs ]
**接受在組織中啟用所有功能的請求**
若要接受請求,您必須接受與 `"Action": "APPROVE_ALL_FEATURES"` 的交握。
+ AWS CLI:
+ [accept-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/accept-handshake.html)
+ [list-handshakes-for-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-account.html)
下列範例顯示如何列出帳戶可用的交握。輸出的第四行中 `"Id"` 的值是下一個命令所需的值。
```
$ aws organizations list-handshakes-for-account
{
"Handshakes": [
{
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
]
}
```
下列範例會使用上一個命令的交握 ID 來接受交握。
```
$ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE
{
"Handshake": {
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
}
```
+ AWS SDKs:
+ [list-handshakes-for-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-account.html)
+ [AcceptHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AcceptHandshake.html)
------
## 步驟 3:完成遷移程序以啟用所有功能 (管理帳戶)
所有獲邀的成員帳戶都需核准請求,才能啟用所有功能。如果組織中沒有任何獲邀請的成員帳戶,**Enable all features progress (啟用組織中的所有功能進度)** 頁面會以綠色橫幅表示您可以完成程序。
**最低許可**
若要完成啟用組織中的所有功能的程序,您必須擁有下列許可:
`organizations:AcceptHandshake`
`organizations:ListHandshakesForOrganization`
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
------
#### [ AWS 管理主控台 ]
**完成啟用所有功能的程序**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[Settings](https://console.aws.amazon.com/organizations/v2/home/settings)** (設定) 頁面上,如果所有受邀帳戶接受啟用所有功能的請求,頁面上方會出現綠色方塊,以便通知您。在綠色方塊中,選擇 **Go to finalize** (前往完成)。
1. 在 **[Enable all features](https://console.aws.amazon.com/organizations/v2/home/settings/enable-all-features)** (啟用所有功能) 頁面中,選擇 **Finalize** (完成),然後在確認對話方塊中,選擇 **Finalize** (完成)。
1. 組織現在已啟用所有功能。
------
#### [ AWS CLI & AWS SDKs ]
**完成啟用所有功能的程序**
若要完成該程序,您必須接受與 `"Action": "ENABLE_ALL_FEATURES"` 的交握。
+ AWS CLI:
+ [list-handshakes-for-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-organization.html)
+ [accept-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/accept-handshake.html)
```
$ aws organizations list-handshakes-for-organization
{
"Handshakes": [
{
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
]
}
```
下列範例示範如何列出組織可用的交握。輸出的第四行中 `"Id"` 的值是下一個命令所需的值。
```
$ aws organizations accept-handshake \
--handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE
{
"Handshake": {
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
}
```
+ AWS SDKs:
+ [ListHandshakesForOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListHandshakesForOrganization.html)
+ [AcceptHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AcceptHandshake.html)
------
# 協助遷移程序,啟用 Organizations 的所有功能
如果您是企業客戶,由於您可能會管理大量帳戶,因此可能很難完成標準遷移程序。例如,您可能難以取得遷移大型組織中所有受邀帳戶的核准。
協助遷移可讓企業支援計劃的客戶代表您請求將組織 AWS 遷移至所有功能,藉此協助進行此程序。此程序要求您簽署協議,確認您擁有所有帳戶。然後,組織中的所有成員帳戶都會透過電子郵件收到遷移通知,而電子郵件通知將觸發 14 天的等待期。此等待期間提供帳戶在遷移至所有功能生效之前離開組織的時間。
------
#### [ AWS 管理主控台 ]
**使用輔助遷移遷移至所有功能**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在**[設定](https://console.aws.amazon.com/organizations/v2/home/settings)**頁面上,選擇**啟用所有功能**,然後選擇**輔助遷移**。
1. 閱讀協議的條款與條件,選擇**接受**並選擇**開始程序,以啟用所有功能**來開始遷移。
**注意**
**開始輔助遷移程序會覆寫標準遷移程序**
如果您目前正在使用標準遷移程序啟用所有功能,則會將其取消,輔助遷移程序也會開始。
**輔助遷移程序是單向且無法復原**
在您開始輔助遷移程序之後,就無法復原。如果您想要改為進行標準程序,則需要等待 90 天,直到程序過期為止。
------
如果您使用輔助遷移,則不需要擔心以根使用者身分存取受邀帳戶,以接受所有功能的遷移。
您可以聯絡您的技術客戶經理 (TAM),以取得協助遷移的確切詳細資訊、進度和時間表。
# 從管理帳戶檢視組織的詳細資訊
在 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)登入組織的管理帳戶時,您可以檢視組織的詳細資訊。
**最低許可**
若要檢視組織的詳細資訊,您必須擁有以下許可:
`organizations:DescribeOrganization`
------
#### [ AWS 管理主控台 ]
**檢視您的組織的詳細資訊**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 瀏覽至 **[Settings](https://console.aws.amazon.com/organizations/v2/home/settings)** (設定) 頁面。此頁面會顯示有關組織的詳細資訊,包括組織 ID、帳戶名稱和指派給組織管理帳戶的電子郵件地址。
------
#### [ AWS CLI & AWS SDKs ]
**檢視您的組織的詳細資訊**
您可以使用下列其中一項命令來檢視組織的詳細資訊:
+ AWS CLI: [describe-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html)
以下範例顯示此命令輸出中包含的資訊。
```
$ aws organizations describe-organization
{
"Organization": {
"Id": "o-aa111bb222",
"Arn": "arn:aws:organizations::123456789012:organization/o-aa111bb222",
"FeatureSet": "ALL",
"MasterAccountArn": "arn:aws:organizations::128716708097:account/o-aa111bb222/123456789012",
"MasterAccountId": "123456789012",
"MasterAccountEmail": "admin@example.com",
"AvailablePolicyTypes": [ ...DEPRECATED - DO NOT USE... ]
}
}
```
**重要**
該 `AvailablePolicyTypes` 欄位已棄用,並且不包含有關在您的組織中啟用政策的準確資訊。若要查看實際針對組織啟用的準確且完整的政策類型清單,請使用 `ListRoots` 命令,如以下章節 AWS CLI 部分中所述。
+ AWS SDKs:[DescribeOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeOrganization.html)
------
# 使用 刪除組織 AWS Organizations
當您不再需要您的組織時,可以將它刪除。刪除組織並不會關閉管理帳戶,而是會從組織移除管理帳戶並刪除組織本身。
之前的管理帳戶會成為 AWS 帳戶 不再由 管理的獨立帳戶 AWS Organizations。然後,您有三個選項:
+ 您可以繼續將其用作獨立帳戶
+ 您可以使用它來建立不同的組織
+ 您可以接受來自另一個組織的邀請,以將帳戶新增至該組織做為成員帳戶。
**Topics**
+ [考量事項](#orgs_manage_org_delete-considerations)
+ [刪除組織](#orgs_manage_org_delete_procedure)
## 考量事項
**無法復原已刪除的組織**
如果您刪除某個組織,則無法復原該組織。如果您已在組織內建立任何政策,則也會將它們刪除且無法對其復原。
**只有在移除所有成員帳戶之後,才能刪除組織**
只有在從組織移除所有成員帳戶之後,您才能夠刪除該組織。如果您使用 建立一些成員帳戶 AWS Organizations,則可能會封鎖您移除這些帳戶。只有在成員帳戶具有以獨立 AWS 帳戶形式運作所需的所有資訊時,您才可以移除該成員帳戶。如需有關如何提供該資訊和移除帳戶的詳細資訊,請參閱[使用 從成員帳戶離開組織 AWS Organizations](orgs_manage_accounts_leave-as-member.md)。
**無法從組織移除處於「暫停」狀態的成員帳戶**
如果您在從組織中移除成員帳戶之前將其關閉,它會進入 `Closed` 狀態一段時間,而且在帳戶最終關閉之前,您無法從組織中移除該帳戶。這最多可能需要 90 天的時間,而且可能會讓您在此之前無法刪除組織,直至所有成員帳戶都完全關閉。
**透過刪除組織從組織移除管理帳戶,可能會以下列方式影響帳戶:**
+ 該帳戶只負責支付自己的費用,並且不再負責其他任何帳戶衍生的費用。
+ 與其他服務的整合可能會停用。例如, AWS IAM Identity Center 需要組織才能運作,因此如果您從支援 IAM Identity Center 的組織移除帳戶,則該帳戶中的使用者將無法再使用該服務。
組織的管理帳戶絕不會受到服務控制政策 (SCP) 的影響,因此在 SCP 不再可用之後,許可中沒有變更。
**備份所有報告**
請務必從管理帳戶匯出或備份報告,尤其是帳單報告。當您刪除組織時,不會儲存組織層級報告和歷史記錄。所有成本資料 (例如 Cost Explorer 資料集) 都會遭到刪除。建議您執行所有帳單歷史記錄的完整匯出。
如需詳細資訊,請參閱[成本和用量報告](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html)、[Cost Explorer管報告](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html)、[Savings Plans 報告](https://docs.aws.amazon.com/savingsplans/latest/userguide/ce-sp-usingPR.html#ce-dl-pr),以及[預留執行個體 (RI) 使用率和涵蓋範圍](https://repost.aws/knowledge-center/ec2-ri-utilization-coverage-cost-explorer)。
## 刪除組織
使用下列程序刪除組織,將先前的管理帳戶還原為不再由 AWS 帳戶 管理的獨立帳戶 AWS Organizations。
**最低許可**
若要刪除組織,您必須以管理帳戶中的使用者或角色的身分登入,且您必須擁有以下許可:
`organizations:DeleteOrganization`
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
### AWS 管理主控台
**若要刪除組織**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在您能夠刪除組織之前,您必須先從組織移除所有帳戶。如需詳細資訊,請參閱[使用 從組織移除成員帳戶 AWS Organizations](orgs_manage_accounts_remove.md)。
1. 導覽至 **[Settings](https://console.aws.amazon.com/organizations/v2/home/settings)** (設定) 頁面,然後選擇 **Delete organization** (刪除組織)。
1. 在 **Delete organization** (刪除組織) 確認對話方塊中,輸入顯示在文字方塊上方行中的組織 ID。然後,選擇 **Delete organization** (刪除組織)。
**重要**
此作業**不**會關閉管理帳戶,但會將其退回至獨立帳戶 AWS 帳戶。若要關閉帳戶,請遵循 [使用 關閉組織中的成員帳戶 AWS Organizations](orgs_manage_accounts_close.md) 中的步驟。
### AWS CLI & AWS SDKs
下列程式碼範例示範如何使用 `DeleteOrganization`。
------
#### [ .NET ]
**適用於 .NET 的 SDK**
GitHub 上提供更多範例。尋找完整範例,並了解如何在 [AWS 程式碼範例儲存庫](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)中設定和執行。
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Shows how to delete an existing organization using the AWS
/// Organizations Service.
///
public class DeleteOrganization
{
///
/// Initializes the Organizations client and then calls
/// DeleteOrganizationAsync to delete the organization.
///
public static async Task Main()
{
// Create the client object using the default account.
IAmazonOrganizations client = new AmazonOrganizationsClient();
var response = await client.DeleteOrganizationAsync(new DeleteOrganizationRequest());
if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
{
Console.WriteLine("Successfully deleted organization.");
}
else
{
Console.WriteLine("Could not delete organization.");
}
}
}
```
+ 如需 API 詳細資訊,請參閱《適用於 .NET 的 AWS SDK API 參考》**中的 [DeleteOrganization](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/DeleteOrganization)。
------
#### [ CLI ]
**AWS CLI**
**刪除組織**
下列範例顯示如何刪除組織。若要執行此操作,您必須是組織中主帳戶的管理員。此範例假設您先前已從組織移除所有成員帳戶、OU 和政策:
```
aws organizations delete-organization
```
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DeleteOrganization](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/delete-organization.html)。
------