本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 啟用組織的所有功能 AWS Organizations
AWS Organizations 有兩個可用的功能集:
+ [所有功能](orgs_getting-started_concepts.md#feature-set-all) – 此功能集是偏好和預設的使用方式 AWS Organizations,其中包含合併帳單的所有功能。當您建立組織時,根據預設會啟用所有功能。啟用所有功能後,您可以使用 Organizations 中可用的進階帳戶管理功能,例如[與支援的 AWS 服務和](orgs_integrate_services_list.md)[組織政策](orgs_manage_policies.md)整合。
+ [合併帳單功能](orgs_getting-started_concepts.md#feature-set-cb-only) – 此功能集僅限於跨組織產生單一帳單。合併帳單不提供其他管理功能。
如果您使用合併帳單功能集建立組織,您可以稍後啟用所有功能。不過,在啟用所有功能之後,您無法從所有功能遷移到合併帳單。
**標準遷移和輔助遷移**
遷移至所有功能的兩種方法是*標準遷移*和*輔助遷移*。
標準遷移是所有 AWS Organizations 客戶可用的自助式程序,可啟用所有功能模式。
協助遷移是 Enterprise Support 計劃客戶請求將其組織 AWS 遷移到代表您的所有功能模式的程序。
**注意**
**單向程序和轉返程序**
從合併帳單功能到所有功能的移轉是單向的。啟用組織的所有功能之後,您就無法切換回僅具備合併帳單功能。
在您開始輔助遷移程序之後,就無法復原。如果您想要改為進行標準程序,則需要等待 90 天,直到程序過期為止。
**Topics**
+ [
## 考量事項
](#before-enabling-all)
+ [標準遷移程序](manage-begin-all-features-standard-migration.md)
+ [輔助遷移程序](manage-begin-all-features-assisted-migration.md)
## 考量事項
從僅支援合併帳單功能的組織變更為支援所有功能的組織之前,請考慮下列事項:
**受邀帳戶必須核准遷移**
當您開始啟用所有功能的程序時, 會將請求 AWS Organizations 傳送至您*邀請*加入組織的每個成員帳戶。每個獲邀請的帳戶必須透過接受請求來核准啟用所有功能。只有這樣,您才能完成啟用組織中的所有功能的程序。如果帳戶拒絕請求,您必須從組織移除帳戶或重新傳送請求。您必須先接受請求,才能完成啟用所有功能的程序。您使用 AWS Organizations *建立*的帳戶不會收到請求,因為他們不需要核准額外的控制。
**邀請的帳戶會收到通知,告知目前已啟用哪些功能集**
受邀帳戶的擁有者會收到邀請通知,無論他們是加入僅合併帳單的組織,還是啟用了所有功能。您可以在啟用所有功能的同時,繼續邀請帳戶加入您的組織。
如果您在啟用所有功能的程序*期間*邀請帳戶,邀請會指出他們所加入的組織已啟用所有功能。如果您在帳戶接受邀請之前取消啟用所有功能的程序,則該邀請會被取消。您必須再次邀請帳戶成為僅具備合併帳單功能之組織成員。
如果您邀請帳戶但尚未接受邀請*之前*,您就會開始啟用所有功能的程序,該邀請會被取消,因為邀請指出該組織只有合併帳單功能。您必須再次邀請帳戶成為已啟用所有功能之組織的成員。
**在組織中建立帳戶的程序不受遷移影響**
您可以繼續在組織中建立帳戶。該程序不會受到此變更的影響。
**服務連結角色`AWSServiceRoleForOrganizations`為必要**
AWS Organizations 驗證每個成員帳戶是否具有名為 的服務連結角色`AWSServiceRoleForOrganizations`。所有帳戶中均必須有此角色,才能啟用所有功能。如果您刪除獲邀請帳戶中的該角色,接受邀請會啟用重新建立角色的所有功能。如果您在使用 建立的帳戶中刪除角色 AWS Organizations,則該帳戶會收到專門重新建立該角色的邀請。所有的邀請都必須獲得接受,組織才能完成啟用所有功能的程序。
# 使用 Organizations 啟用所有功能的標準遷移程序
本主題說明如何使用標準遷移程序啟用所有功能。
## 步驟 1:請求受邀的帳戶核准遷移 (管理帳戶)
當您使用組織管理帳戶登入時,您可以開始啟用所有功能的程序。若要執行此動作,請執行下列步驟。
**最低許可**
若要啟用組織中的所有功能,您必須擁有下列許可:
`organizations:EnableAllFeatures`
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
------
#### [ AWS 管理主控台 ]
**要求獲邀請的成員帳戶接受啟用組織中的所有功能**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[Settings (設定)](https://console.aws.amazon.com/organizations/v2/home/settings)** 頁面中,選擇 **Begin process to enable all features (開始啟用所有功能的程序)**。
1. 在 **[Enable all features](https://console.aws.amazon.com/organizations/v2/home/settings/enable-all-features)** (啟用所有功能) 頁面上,確認您了解在切換後透過選擇 **Begin process to enable all featers** (開始程序以啟用所有功能),無法傳回僅合併帳單功能。
AWS Organizations 會向組織中的每個受邀 (未建立) 帳戶傳送請求,要求核准以啟用組織中的所有功能。如果您有任何使用 建立的帳戶, AWS Organizations 且成員帳戶管理員已刪除名為 的服務連結角色`AWSServiceRoleForOrganizations`, 會 AWS Organizations 傳送重新建立角色的請求給該帳戶。
主控台會隨即顯示受邀帳戶的**請求核准狀態**清單。
**提示**
若要稍後返回此頁面,請開啟 **[Settings](https://console.aws.amazon.com/organizations/v2/home/settings)** (設定) 頁面,並在 **Request sent *date*** (已傳送請求日期) 區段中,選擇 **View status** (檢視狀態)。
1. **[Enable all features](https://console.aws.amazon.com/organizations/v2/home/settings/enable-all-features)** (啟用所有功能) 頁面會顯示組織中每個帳戶目前的請求狀態。已接受請求的帳戶會顯示 **ACCEPTED** (已接受) 狀態。尚未同意的帳戶會顯示 **OPEN** (未決) 狀態。
------
#### [ AWS CLI & AWS SDKs ]
**要求獲邀請的成員帳戶接受啟用組織中的所有功能**
您可以使用下列其中一項命令來啟用組織中的所有功能:
+ AWS CLI: [enable-all-features](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-all-features.html)
下列命令會開始在組織中啟用所有功能的程序。
```
$ aws organizations enable-all-features
{
"Handshake": {
"Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "REQUESTED",
"RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00",
"ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-a1b2c3d4e5",
"Type": "ORGANIZATION"
}
]
}
}
```
輸出會顯示受邀成員帳戶必須同意的交握詳細資訊。
+ AWS SDKs:[EnableAllFeatures](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAllFeatures.html)
------
**備註**
當請求傳送到成員帳戶時,即開始 90 天的倒數計時。所有帳戶必須在該時間內核准請求,否則請求會過期。如果請求過期,與此嘗試相關的所有請求都會取消,而且您必須從步驟 2 重新開始。
一旦您要求啟用所有功能,現有未接受的帳戶邀請將全部遭到取消。
在所有功能遷移過程中,您仍然可以啟動新帳戶邀請和建立新帳戶。
在組織中的所有受邀帳戶核准其請求之後,您就可以完成程序並啟用所有功能。如果您的組織沒有任何*受邀*成員帳戶,您也可以立即完成程序。若要完成此程序,請繼續[步驟 3:完成遷移程序以啟用所有功能 (管理帳戶)](#finalize-migration)。
## 步驟 2:核准啟用所有功能或重新建立服務連結角色 (邀請帳戶) 的請求
以其中一個組織的受邀成員帳戶登入時,您可以從管理帳戶核准請求。如果您的帳戶原先獲邀請加入組織,該邀請是要啟用所有功能並隱含包含核准重新建立 `AWSServiceRoleForOrganizations` 角色 (必要時)。如果您的帳戶是使用 建立, AWS Organizations 而且您刪除了`AWSServiceRoleForOrganizations`服務連結角色,則您只會收到重新建立角色的邀請。若要執行此動作,請執行下列步驟。
**重要**
如果您啟用所有功能,則組織中的管理帳戶可以對您的成員帳戶套用以政策為基礎的控制。對於使用者,甚至身為管理員的您,這些控制可以限制在您的帳戶中能夠執行什麼動作。這類限制可能會使您的帳戶無法離開組織。
**最低許可**
若要核准為您的成員帳戶啟用所有功能的請求,成員帳戶必須具有下列許可:
`organizations:AcceptHandshake`
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:ListHandshakesForAccount` – 僅在使用 Organizations 主控台時才需要
`iam:CreateServiceLinkedRole` – 只有在必須在成員帳戶中重新建立 `AWSServiceRoleForOrganizations` 角色時才為必要
------
#### [ AWS 管理主控台 ]
**接受在組織中啟用所有功能的請求**
1. 在 AWS Organizations 主控台登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者的身分登入,擔任 IAM 角色,或以成員帳戶中的根使用者身分登入 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 了解接受組織中所有功能對您的帳戶所代表的意義,然後選擇 **Accept (接受)**。此頁面會繼續將程序顯示為未完成,直到組織中的所有帳戶接受請求,並且管理帳戶的管理員完成程序為止。
------
#### [ AWS CLI & AWS SDKs ]
**接受在組織中啟用所有功能的請求**
若要接受請求,您必須接受與 `"Action": "APPROVE_ALL_FEATURES"` 的交握。
+ AWS CLI:
+ [accept-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/accept-handshake.html)
+ [list-handshakes-for-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-account.html)
下列範例顯示如何列出帳戶可用的交握。輸出的第四行中 `"Id"` 的值是下一個命令所需的值。
```
$ aws organizations list-handshakes-for-account
{
"Handshakes": [
{
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
]
}
```
下列範例會使用上一個命令的交握 ID 來接受交握。
```
$ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE
{
"Handshake": {
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
}
```
+ AWS SDKs:
+ [list-handshakes-for-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-account.html)
+ [AcceptHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AcceptHandshake.html)
------
## 步驟 3:完成遷移程序以啟用所有功能 (管理帳戶)
所有獲邀的成員帳戶都需核准請求,才能啟用所有功能。如果組織中沒有任何獲邀請的成員帳戶,**Enable all features progress (啟用組織中的所有功能進度)** 頁面會以綠色橫幅表示您可以完成程序。
**最低許可**
若要完成啟用組織中的所有功能的程序,您必須擁有下列許可:
`organizations:AcceptHandshake`
`organizations:ListHandshakesForOrganization`
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
------
#### [ AWS 管理主控台 ]
**完成啟用所有功能的程序**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[Settings](https://console.aws.amazon.com/organizations/v2/home/settings)** (設定) 頁面上,如果所有受邀帳戶接受啟用所有功能的請求,頁面上方會出現綠色方塊,以便通知您。在綠色方塊中,選擇 **Go to finalize** (前往完成)。
1. 在 **[Enable all features](https://console.aws.amazon.com/organizations/v2/home/settings/enable-all-features)** (啟用所有功能) 頁面中,選擇 **Finalize** (完成),然後在確認對話方塊中,選擇 **Finalize** (完成)。
1. 組織現在已啟用所有功能。
------
#### [ AWS CLI & AWS SDKs ]
**完成啟用所有功能的程序**
若要完成該程序,您必須接受與 `"Action": "ENABLE_ALL_FEATURES"` 的交握。
+ AWS CLI:
+ [list-handshakes-for-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-organization.html)
+ [accept-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/accept-handshake.html)
```
$ aws organizations list-handshakes-for-organization
{
"Handshakes": [
{
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
]
}
```
下列範例示範如何列出組織可用的交握。輸出的第四行中 `"Id"` 的值是下一個命令所需的值。
```
$ aws organizations accept-handshake \
--handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE
{
"Handshake": {
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
}
```
+ AWS SDKs:
+ [ListHandshakesForOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListHandshakesForOrganization.html)
+ [AcceptHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AcceptHandshake.html)
------
# 協助遷移程序,啟用 Organizations 的所有功能
如果您是企業客戶,由於您可能會管理大量帳戶,因此可能很難完成標準遷移程序。例如,您可能難以取得遷移大型組織中所有受邀帳戶的核准。
協助遷移可讓企業支援計劃的客戶代表您請求將組織 AWS 遷移至所有功能,藉此協助進行此程序。此程序要求您簽署協議,確認您擁有所有帳戶。然後,組織中的所有成員帳戶都會透過電子郵件收到遷移通知,而電子郵件通知將觸發 14 天的等待期。此等待期間提供帳戶在遷移至所有功能生效之前離開組織的時間。
------
#### [ AWS 管理主控台 ]
**使用輔助遷移遷移至所有功能**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在**[設定](https://console.aws.amazon.com/organizations/v2/home/settings)**頁面上,選擇**啟用所有功能**,然後選擇**輔助遷移**。
1. 閱讀協議的條款與條件,選擇**接受**並選擇**開始程序,以啟用所有功能**來開始遷移。
**注意**
**開始輔助遷移程序會覆寫標準遷移程序**
如果您目前正在使用標準遷移程序啟用所有功能,則會將其取消,輔助遷移程序也會開始。
**輔助遷移程序是單向且無法復原**
在您開始輔助遷移程序之後,就無法復原。如果您想要改為進行標準程序,則需要等待 90 天,直到程序過期為止。
------
如果您使用輔助遷移,則不需要擔心以根使用者身分存取受邀帳戶,以接受所有功能的遷移。
您可以聯絡您的技術客戶經理 (TAM),以取得協助遷移的確切詳細資訊、進度和時間表。