问题标签 [aws-organizations]

我正在为 AWS 平台编写一个应用程序，该应用程序计划从根帐户启动，并带有根凭证。此时我需要停止 AWS 组织成员账户启动的一些机器。

默认情况下，AWS 组织不授予对根账户的访问权限以查看或管理其他成员账户的资源。所以我尝试使用临时凭据并尝试承担由目标帐户创建的角色。

更多关于这里。 https://docs.aws.amazon.com/AmazonS3/latest/dev/AuthUsingTempSessionTokenJava.html

另一方面，它不允许 root 帐户承担角色，并引发此类异常。

有没有办法解决这个问题？例如，以某种方式授予对所有内容的 root 访问权限或让它承担角色？

我正在尝试通过指定 ou 将实例添加到 StackSet。使用控制台可以做到这一点，但似乎找不到使用 cli 的方法。当我使用 ou 代码时，出现错误：

An error occurred (ValidationError) when calling the CreateStackInstances operation: 1 validation error detected: Value '[ou-1234-asdfsfsdf]' at 'accounts' failed to satisfy constraint: Member must satisfy constraint: [Member must satisfy regular expression pattern: [0-9]{12}]

我们正在使用 AWS Organizations 服务（具有整合账单功能）与大量账户成员。我们能否以某种方式为会员帐户的使用成本 ($) 设置最大限制？

背景
我想拆分 EC2 计费，因为我有新项目。然后我在组织中创建一个新的 AWS 用户。创作似乎很正常。但是，当我根据 UI 完成创建时。它对我没有任何密码确认。因此，新用户是一个坏的，因为它是不完整的注册。

重现步骤：

变成鸡和蛋的问题。因为我的组织中新用户的注册尚未完成。但为了删除它，我必须先登录它！

问题：
1. 如何完成我的第二个用户注册？
2. 如何删除我组织中的第二个用户？
3. 第二个用户只会在他的预算浏览器中看到他自己的 EC2 账单是否正确？

更新：
@Aress 支持在输入正确的电子邮件和验证码后

我正在尝试使用 AWS CLI 来描述我的 AWS 策略。但是，AWS 似乎没有识别策略 ID。

我已经执行了这个：

aws iam get-policy --policy-arn arn:aws:iam::160936793253:policy/MyAWSPolicy

并得到以下返回：

但是，当我输入此命令时： aws organizations describe-policy --policy-id ANPAIIJNOIYOWCAK6KH7I

我得到一个 InvalidInputException 因为根据 AWS 文档（https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-policy.html#examples）：

您想要详细了解的策略的唯一标识符 (ID)。您可以从 ListPolicies 或 ListPoliciesForTarget 操作中获取 ID。

策略 ID 字符串的正则表达式模式需要“p-”后跟 8 到 128 个小写字母或数字。

但是，当我将p- 添加到ANPAIIJNOIYOWCAK6KH7IAWS 时，它无法识别此策略。

知道发生了什么吗？

我已经设置了一个组织层次结构并添加了一个策略来允许acm和acm-pca. 但是我收到一个错误：

政策：

允许证书请求是否有我错过的任何操作？

我有一个 AWS 组织，并为我创建的每个新项目创建成员账户。由于我可以控制所有帐户，因此我对所有这些帐户使用相同的电子邮件帐户，使用 account-name+project-name@gmail.com 模式。这意味着我为我创建的每个新帐户都会收到相同的营销电子邮件。我知道我可以手动取消订阅，但是由于我通过 CLI 创建了成员帐户，我想知道是否有一种方法可以通过 SDK 自动取消订阅（或避免被订阅）。

我查看了AWS Organizations SDK 文档，尤其是在create-account方面，但没有发现任何相关内容。

经过数小时调试 powershell 和 IAM 权限错误后，我几乎完成了为 AWS Org SSO PoC 创建 Azure AD。我一直在关注本指南，最后一点是访问此链接http://myapps.microsoft.com，然后应该会发生魔术......但它没有:(。出于某种原因，即使我已登录，我也会收到来自 Microsoft 的凭据提示，并且我尝试了多种用户 ID 登录组合以进入。尝试获取 Azure AD 和 AWS 时，有没有人遇到过这个问题（屏幕截图）组织。我已经仔细检查了我的属性/声明和注册清单，但无法查明原因。任何帮助将不胜感激，如果我找到根本原因，我一定会发布解决方案。

不确定这是否有帮助，但在我输入我的信用后，它会将我重定向到此链接： https://account.activedirectory.windowsazure.com/applications/redirecttoapplication.aspx?error=access_denied&error_description=AADSTS650057%3a+Invalid+resource.+The+client+has+requested+access+to+a+resource+which+is+not+listed+in+the+requested+permissions+in+the+client%27s+application+registration.+Client+app+ID%3a+0000000c-0000-0000-c000-000000000000(Microsoft+App+Access+Panel).+Resource+value+from+request%3a+84c029fc-2409-4373-a521-9e8fc98b78df.+Resource+app+ID%3a+84c029fc-2409-4373-a521-9e8fc98b78df.+List+of+valid+resources+from+app+registration%3a+.%0d%0aTrace+ID%3a+7c91fc7e-37c5-42e6-bebd-ab66fc113400%0d%0aCorrelation+ID%3a+50aa777c-7fc1-4a17-8a56-fe22944257f8%0d%0aTimestamp%3a+2019-06-21+21%3a00%3a30Z&state=U2luZ2xlU2lnbk9uVHlwZT1QYXNzd29yZCZvcGVyYXRpb249QXV0aENvZGUmYXBwbGljYXRpb25JZD04NGMwMjlmYy0yNDA5LTQzNzMtYTUyMS05ZThmYzk4Yjc4ZGYmYWNjb3VudD0%3d

我正在使用 python 和 boto3 列出我的组织拥有的资源。我列出了我的主账户中的资源没有问题，但我还需要列出子账户中的资源。我可以获得儿童帐户 ID，但仅此而已。

有什么帮助吗？

我想将多租户 SaaS 的 AWS 资源分离到 AWS 组织下的单独账户中。

• 我有多个 OU，按功能划分，例如日志、审计、计算。我将拥有与每个 OU 相关联的 SCP。
• 每个租户在每个 OU 下都有一个帐户，这意味着当我添加新租户时，每个帐户都会将各自的 SCP 继承到该 OU。

为了使开发人员能够构建平台并能够调试正在运行的系统，我想使用中心辐射型方法来使用联合 IdP 进行访问控制，类似于此处所述：https://segment .com/blog/secure-access-to-100-aws-accounts/。

具体来说，我将拥有一个identity绑定到 Okta 的帐户。用户将通过此帐户进行身份验证，然后用于sts:assume-role升级到其他帐户中的角色。请注意，我想要一个单独的identity帐户，并且不让用户对组织中的master帐户进行身份验证（因此在组织内，我们拥有master和identity帐户，以及每个具有各自帐户的 OU）。

为了以编程方式创建新租户，我需要创建租户的帐户并将它们放置在正确的 OU 中，因此这需要在master帐户中完成。我可以通过在master帐户中创建一个角色并让开发人员从该identity帐户中担任该角色来做到这一点。

如何在新账户中创建开发人员可以从该identity账户代入的角色？成员帐户有一个名为OrganizationAccountAccessRole自动创建的角色（请参阅此处了解详细信息），但该角色设置为只能从主帐户访问，并且可以访问该帐户中的所有内容。如何使identity帐户中的开发人员能够以编程方式创建新帐户及其中的角色，而无需授予此类全能权限（他们应该没有更多的权限来执行此任务而不是必要的）。我认为我不能master从帐户中担任该帐户identity的角色，然后再在第三个帐户中担任角色吗？

编辑：我真的只对解决实现我描述的解决方案所需的步骤/配置的答案感兴趣。