问题标签 [aws-organizations]

AWS CLIaws organizations list-roots 返回一个列表。

但是给定一个 AWS 帐户/登录名，它只能属于 0 或 1 AWS Organization，对吗？为什么它会返回一个列表（是否会有 2 个或更多项目）？

我在不同的项目文档中看到了对 AWS 主账户的引用，例如在awslabs/aws-deployment-framework 中：

CloudTrail 在 AWS Organizations 主 AWS 账户的 us-east-1 区域中配置。

什么是主账户？我没有在AWS Organizations 术语和概念中看到它

我有 2 个 AWS 账户，假设账户 A 和 B。在账户 A 中，我注册了域名：abc.com，我想在账户 B 中创建类似 dev.abc.com 的子域。截至目前，我已经创建了托管区域 dev .abc.com 在账户 B 中，并将 NS 值复制到账户 A 中的托管区域（通过为 NS 创建记录集）。但是当我尝试挖掘域名时：

dig abc.com ns （我在答案部分获得 NS 记录，状态为NOERROR）

输出：

挖 dev.abc.com （我的状态为NXDOMAIN）。

输出：

我检查了 dev.abc.com 帐户 A 中 NS 的值是否正确，但仍然得到 NXDOMAIN。现在我在考虑这个问题是否会出现，因为我的 AWS 账户不是 AWS Organizations 的一部分。

根据公司合规政策，我正在寻找解决方案来阻止客户端（100 多个 aws 帐户）创建具有公共 IP 的 ec2 实例，或者在创建后尝试在其上附加弹性 IP。

我正在考虑使用AWS Organization SCP来实现它，所以我不需要在个人账户中设置它。但无法获得正确的 SCP 政策来执行此操作。

供您参考的 SCP 策略，我可以使用以下策略阻止 s3 公共访问，我需要类似于 ec2 实例。

理想情况下，使用适当的 SCP 策略，当客户在其帐户中的 Orgainzation OU 下，如果他们允许公共 IP，则他们无法创建 ec2 实例，或者在创建 ec2 后，当他们尝试附加弹性 IP 时，scp 应该阻止它。

更新

谢谢，@约翰

让我试试这个政策

更新#2

以上 scp 策略不起作用，我仍然可以使用公共 IP 创建新实例

我创建了一个组织，有一个新的管理帐户 call itMA并邀请了我的个人帐户 call it A。我想要的是与组织成员共享一个dynamodb由组织成员创建的表（例如在根目录下）。MAA

为此，我创建了一个策略，授予对该表的完全访问权限，附加到一个全新的角色加入A （即组织的正式成员），但不幸的是，从A帐户中，我看不到该表。

我在哪里做错了？

政策 JSON - dynamodb-products-table-full-access：

Another AWS account键入附加到A帐户的角色。

AWS CloudTrail 日志存储在日志账户的 S3 存储桶中。生成这些日志的跟踪位于管理帐户中。我希望 CloudTrail 日志在我的安全账户的 CloudWatch 中可见。

我（主要）使用控制台，并且设置了各种 EventBridge 权限和角色等，详情如下。但是，每当我尝试在跟踪中启用 CloudWatch 日志时，我都会收到错误消息An internal error occurred. Refresh the page, and retry.

如何使 CloudTrail 日志在我的安全账户的 CloudWatch 的日志组中可见？

账户和组织结构比较简单——四个账户，没有应用SCP：

• 管理账户
• 基础设施帐户
• 安全帐户
• 日志帐户

管理账户中的 CloudTrail 跟踪将日志存储在 Logs Account 存储桶中，这是通过存储桶策略启用的（这是模板，占位符值替换为正确的存储桶名称、管理账户 ID、组织 ID、跟踪名称、区域） ：

安全帐户 EventBridgedefault总线上具有以下资源权限策略（这是模板，占位符值替换为安全帐户 ID、组织 ID、区域）：

安全账户还有一个名为“cloudtrail-logs”的 CloudWatch 日志组。

在管理账户中，有 TRAIL_NAME CloudTrail 跟踪，我创建了 CloudTrailForCloudWatchLogs-TRAIL_NAME 角色，并附加了以下权限策略：

为了尝试在 CloudWatch 中启用 CloudTrail，我执行以下操作：

1. 在管理账户中，转到 CloudTrail，单击 TRAIL_NAME 跟踪，然后单击 CloudWatch Logs 的“编辑”（当前显示“未为此跟踪配置 CloudWatch 日志”）。

2. 在生成的编辑屏幕中：

• 选中“已启用 CloudWatch 日志”
• 指定一个现有的日志组：cloudtrail-logs
• 指定现有 IAM 角色：CloudTrailForCloudWatchLogs-TRAIL_NAME

3. 在此编辑表单的底部有一个“政策文档”下拉菜单，展开后会显示以下政策：

4. 单击“编辑”表单底部的“保存更改”按钮会生成错误消息An internal error occurred. Refresh the page, and retry.。如果我转到 IAM，我还会发现一个与上面步骤 (3) 中的策略完全匹配的新策略已创建并附加到 CloudTrailForCloudWatchLogs-TRAIL_NAME 角色。

到目前为止帮助我的具体资源（这些链接最终可能会过时，所以我在上面提供了详细信息）：

• 创建跟踪并使其正常工作：
  • https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html
  • https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-s3-bucket-policy-for-cloudtrail.html
• 设置 EventBridge、管理帐户角色：
  • https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-required-policy-for-cloudwatch-logs.html
  • https://docs.aws.amazon.com/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html
  • https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/CloudWatchEvents-CrossAccountEventDelivery.html#ReceivingEventsFromAnotherAccount（请注意，这些说明有些过时，因为它们引用 CloudWatch 事件总线，现在由 EventBridge 处理）
• 这个 StackOverflow 问题与这个问题很接近，但不完全是：它是关于将 CloudWatch 日志从多个账户收集到一个账户中：Cloudtrail to Cloudwatch to other account

通过 CLI 执行此操作怎么样/更新 2021-12-21

如上所述，已经在 SecurityAccount 中配置了 EventBus 以接受事件，然后我使用了此处的说明。这也不起作用，但会失败并显示更多信息的错误消息：An error occurred (InvalidCloudWatchLogsLogGroupArnException) when calling the UpdateTrail operation: You must specify a log group that is owned by this account..

这表明账户 B 中的 CloudWatch 无法监控账户 A 中 CloudTrail 写入的日志，至少不能直接监控。

我现在正在调查是否可以将 CloudTrail 日志从管理账户共享到安全账户，然后以这种方式创建 CloudWatch 监控（从这里开始）。

更详细地说，我做了什么：

哪里cloudtrail_assume_role.json看起来像这样：

role-policy-document.json看起来像这样：

问题是，我在自定义 OU 上创建了新的组织和帐户。我没有在那里应用任何 SCP 或其他类型的限制。但是，当我尝试使用子帐户运行 CodeBuild 作业时，仍然出现错误：

“构建无法启动。发生以下错误：帐户队列中的构建不能超过 0 个”。

我什至尝试将自己的支付卡放在孩子帐户上，然后重新创建构建，但仍然没有运气:(

有没有人发现这样的问题？如何解决？

我想终止我在 AWS 组织中的成员账户（子账户）。

我是否仍需要为该帐户拥有的非手动删除的资源付费？还是会删除所有资源？例如实例、备份等。

我想阻止对我在组织的新 AWS 账户中创建的作为基础设置的某些资源的访问。我想为除管理员之外的所有用户执行此操作。此设计解决了仅管理部分的访问权限：

正如您在上面的角色中看到的那样，除了管理员之外的所有人都被拒绝了，这不是我想做的，我想阻止对某些资源的访问。最简单的方法就是在“资源”下列出我想要阻止访问的资源。但这将在手动工作中解决以使该 SCP 保持最新，这是我试图避免的事情。所以我的第二个想法是使用标签，并根据以下条件拒绝访问：

但是当我遇到一些 AWS 服务不支持基于标签的授权的问题时，请参阅链接： https ://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with -iam.html#:~:text=Yes-,AWS%20Lambda,Partial%C2%B2,-Amazon%20Lightsail

有谁知道解决我的问题的好方法？还是我只是让你接受我必须手动更新我的 SCP？

我一直在使用 Terraform 在其中创建一个 AWS 组织和三个额外的帐户。

我运行 Terraform 的用户没有完全正确的权限。组织和帐户已创建，但状态似乎不包含它们。如果我运行terraform apply，则表明它将添加它们。但是，一旦接受该计划，每个帐户都会出现以下错误：-

Error: Error waiting for account request (car-xxxxxxxxxxxxxxxxxxxxxxxxxxxxx) to become available: EMAIL_ALREADY_EXISTS

我阅读了aws_organizations_account 资源的文档，其中状态我可以terraform import aws_organizations_account.my_org 111111111111用来将其导入状态。但是，当我运行时，我得到了几个：-

我真的被困住了，希望能得到一些指点。

更新 根据要求，我添加了输出terraform plan