问题标签 [aws-organizations]

我遇到了一个小问题，我真的很难理解它是如何工作的。我有一个我正在编写的工具，它基本上执行描述组织来收集我们 AWS 组织中的所有帐户。根据此处的文档，它说它以 json 帐户响应，在我的情况下将是数百个帐户。所以我写了一些非常简单的代码来将角色切换到我们的主帐户并进行调用：

但是当我执行代码时，出现以下错误：

“botocore.errorfactory.InvalidInputException：调用 ListAccounts 操作时发生错误 (InvalidInputException)：您为 nextToken 指定了无效值。您必须从对 API 的先前调用的响应中获取该值。”

我真的很难理解这意味着什么。我看到了 NextToken，我可以在 AWS 文档中找到很多对它的引用，但我不知道如何实际使用它。比如，我需要用它做什么？

我想知道 Azure 服务，它与称为AWS Organizations的 AWS 服务相同，我们可以在其中创建具有后续角色的子账户，可以使用 AWS 中的SWITCH ROLE功能进行访问。

这是屏幕截图：

AWS 允许您邀请 AWS 账户加入您的组织并使用 OU 管理它们。但是，同一 OU 中的 AWS 账户似乎无法访问相同的资源。似乎唯一的解决方案是在一个普通账户下创建 IAM 用户并创建资源作为该账户，但随后人类用户必须将凭证共享到该主账户。有没有办法允许不同的人类用户使用他们自己的凭据创建资源并且从不共享凭据？我不理解将账户与 IAM 分离的价值，最终混淆了我对资源管理安全最佳实践的理解。

我创建了一个 AWS lambda 函数来关闭我账户中的 EC2 实例。该函数在特定时间从 CloudWatch 调用。

假设您必须在 AWS 组织中完成相同的任务。您拥有对主账户的完全控制权，并且您是组织的所有者。如果您想在某个时间关闭组织中的所有 EC2 实例，首先可以从您的主账户中控制吗？如果是，那么方法是什么？

1. Master CloudWatch --calls--> Master Lambda --> 关闭组织中的 EC2 实例

2. 成员 CloudWatch --> 成员 Lambda --> 关闭其组织中的 EC2。

如果 2. 是唯一的选项，是否可以将 CloudWatch 规则和 Lambda 函数从主账户推送到每个成员账户？

3. 还有其他方法可以解决这个问题吗？

非常感谢！

我有一个 cloudformation 堆栈模板，其中包括区域资源（lambdas、api、主题等）和全局资源（用户、策略、route53、cloudfront、dynamodb 全局表等），并希望将其部署到同一区域的多个区域AWS 账户。

我不能直接在多个区域部署这个堆栈模板，因为全局资源在第一次创建后就已经存在。

我知道我可以将所有内容拆分为两个单独的堆栈模板，但我更愿意避免这种情况并将所有内容保存在同一个堆栈模板中。

我看到我可能只能在第一次创建时使用 CF条件+ 参数来切换全局资源创建，但这看起来不太好......

我想知道我是否可以利用 StackSets 之类的 CloudFormation 功能或其他东西来实现这一目标。

知道什么是正确的方法吗？

在这里提供一些背景信息，我的公司尚未实施 AWS Organizations。我们有这个问题，其中许多相同的环境（帐户）：Prod、Dev 和 QA 都具有相同的策略和用户。当在一个环境中更新一项策略时，我们必须手动进入其他策略或运行脚本，具体取决于正在执行的操作。

这是 AWS Organization 的使用案例之一吗？我们可以更新一项中央政策并将该政策“附加”到单位吗？如果这不是 AWS Organization 的确切用法，是否有另一种方法可以复制此操作而无需与 AWS API 交互？

谢谢！

我想了解 AWS Organizations 为何有用以及为什么推荐它的原因。

目前，我和我的团队有三个不同的帐户用于构建应用程序：prod、dev 和 qa。当我们将新应用程序构建到其中一个帐户中时，我们必须首先执行一系列 CloudFormation 模板——其中一个包含新应用程序所需的 IAM 策略/角色。

您可以想象，我们最终将在每个帐户中定义完全相同的策略和角色。出于安全目的，我们不想拥有跨账户角色/策略。

现在我的问题是，是否可以利用 AWS Organizations 来定义 1 个可在每个账户中使用的集中式策略，即，该模板存在于该策略中，但它允许在每个账户中存储一个本地副本。这样做的好处是，我们可以对政策进行 1 次更改，并将该更改复制到我们选择的帐户中。Prod 可能仍然没有该策略的第 1 版，而 dev 可能在第 2 版。

如果这不是 AWS Organizations 的预期功能，那么有人可以为我提供一个 AWS Organizations 优势的用例吗？

这个问题可能看起来很无聊，但我正在与我们的 AWS 组织合作。我们有 3 个独立的根账户，它们通过 IAM 账户和策略连接在一个组织中。我们只能在 EC2 列表中看到来自默认根账户的实例（是的，我正在寻找正确的区域）。我们已在所有其他帐户中共享完整帐户访问权限并接受了邀请。我们的计费工作完美，并且来自我们的主根帐户（我可以看到其他单独帐户的计费很好）。即使是我们最高级别的管理员（字面意思是对所有内容的授予权限）也无法看到从单独的 root 帐户之一启动的实例。

我们的目标是我们的管理员组应该看到来自组织中所有 3 个根账户的 EC2 实例，而无需切换账户或凭证。

我知道这必须是可能的，但我已经花了至少 2 个小时，还没有走多远。关于如何实现这一目标的任何建议？

当您在 AWS 组织中创建账户时，每个账户是否都有自己的服务限制？

例如，Lambda 对每个账户有 1000 个并发限制。如果我从 AWS 组织创建了 2 个账户，我会有 1000 个并发执行/账户吗？（总共 2000 个并发，我知道它不会简单地总结为 2000 所以这是一个过度简化）

我很确定是这样，但我找不到任何书面声明。

目前我正在使用以下代码访问亚马逊组织服务：

在我的生产系统中，有没有一种方法可以让客户使用他们的 AWS 账户登录，然后无需获取访问密钥和密钥？