问题标签 [aws-organizations]

账户所有者（拥有 AWS 根账户）邀请我加入组织，并且我已经预置了一些 EC2 实例。账户所有者看不到我创建的任何 EC2 实例或我在受邀加入的 AWS 组织中所做的任何其他事情。他是否应该在该 OU 中为自己创建另一个登录名并使用该登录名来查看其他成员在该 OU 中创建的所有内容？

当我尝试将新 AWS 账户添加到新创建的组织时，我收到以下信息。关于如何解决这个问题的任何想法？

我们有多个 aws 子帐户，它们位于一个计费帐户（组织）下。由于这些帐户通过 vpn 连接到我们的私有云，我希望阻止开发人员默认打开互联网端口。是否有一个很好的默认策略来防止大多数基本的东西，这些东西可能会导致安全问题，而不会对开发人员造成太多限制？基本上应该允许启动和停止里面的东西，但我们应该确保他们不能打开可能给我们的私有云带来安全问题的东西。我只是快速浏览了一些设置并提出了这个政策，但我想知道是否还有更多需要考虑的地方，或者是否已经有很好的例子。

我正在尝试在 AWS 中关联帐户。但是 AWS 组织在邀请用户时抛出以下错误“您无法在组织初始化时将帐户添加到您的组织。稍后再试”

收到错误：

botocore.exceptions.UnknownServiceError：未知服务：“组织”

我正在使用 express 制作一个轻量级应用程序，它将显示有关组织帐户和最终 EC2 实例的信息。截至目前，我只想将帐户 ID 保存到一个数组中并在页面上打印该数组。我的代码是：

然后我调用我的页面，这就是我的控制台中显示的内容

然后我的页面将显示“3442578432”，但我希望它显示 [“3442578432”、“3001378432”、“5742579932”、“9742654332”]

我很困惑为什么我错误地命令执行代码，以及为什么我不能将此 api 调用中的信息保存到数组中。将来我需要对更多服务进行更多调用，我什至无法在页面上存储和显示帐号。

我也很困惑为什么我这样做：

我得到一大块不包含我的任何帐户信息的元数据。

是否可以创建 IAM 规则或 SCP（组织规则）来为某个组中的所有用户或具有某些权限（例如管理员或高级用户）的所有用户强制执行 MFA？

将成员帐户附加到特定组织单位的真正用途是什么？我们仍然可以通过将权限附加到 OU 来管理权限。

我有一个用例，我在其中动态创建了联合用户并允许访问在 aws 上执行操作 30 分钟。之后，我将从联合用户那里收回访问权限，但我需要通过自动方式删除他创建的资源。

我的 AWS 亚马逊账户中有几个 EC2 实例。我有一个希望外包商使用的特定 EC2 实例（停止、启动、管理安全组、调整磁盘空间大小等）。

我尝试使用 IAM 策略执行此操作，但据我所见，DescribeInstances 允许用户查看我账户中的所有实例。当我尝试编辑特定资源的策略时，它会显示错误，因为它 DescribeInstances 不是资源级策略，因此它必须具有资源“*”。

我在想也许允许他访问不同的区域，并将实例放在那里。另一种选择是使用组织（有点复杂，但看起来很有希望，如果这是要走的路会很高兴了解）。

我错过了什么吗？实现我需要的最佳解决方案是什么？