问题标签 [aws-organizations]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
amazon-web-services - 通过 AWS 组织账户管理用户
我有个问题。我想使用 AWS API (SDK) 管理多个账户和用户。那么是否可以使用 AWS Organization 来管理账户并访问用户列表?
我的意思是我将 AWS Organization 连接到 AWS SSO 以管理多个账户,那么我可以通过 AWS 开发工具包管理账户和用户还是必须添加其他组件?
amazon-web-services - 如何与组织中的其他用户共享 lambda 函数
我的公司是 AWS 的新手,我一直在尝试构建 lambda 函数的开发工作。我已经完成了我的编码,我需要把它交给另一个团队。如何允许其他团队成员从他们的帐户访问/运行/执行/开发/等... lambda 函数?
amazon-web-services - AWS 上的 Kubernetes 有多个账户?
我想知道是否可以在一个 AWS 账户中运行单个 EKS 集群并将对它(整个或特定命名空间)的访问权限授予另一个账户?
这是一个场景:在我的公司,我们有多个客户并在 AWS 中托管他们的系统。我们想为每个客户设置带有子账户的 AWS 组织结构(+ 可能是用于生产和测试的单独账户)。一些客户已经迁移到 Kubernetes,所以我们需要 EKS 集群。现在,为每个客户设置单独的集群并不划算——部分原因是它会为每个控制平面产生超过 100 美元的收益,部分原因是我们需要为每个客户设置单独的节点组,这会降低规模效益。出于这个原因,我想设置一个单独的 EKS 集群并将其访问权限授予为客户创建的子账户。我能做到这一点吗?以及怎么做比较简单?
amazon-web-services - 启用对所有组织的跨账户访问
我正在使用 AWS 控制台,并且我有一个场景,我想授予对我组织外部账户的访问权限,以读取我组织中所有成员账户中的 S3 对象。
我能够在我的组织的主账户和第三方账户之间启用跨账户,但该角色仅适用于主账户,并且在尝试从成员账户 S3 存储桶中读取数据时,我被拒绝访问。
如何创建将应用于我所有组织的角色?
amazon-web-services - 如何为其他帐户委派组织单位创建?
理论上,我可以将用于管理 AWS 中的组织的策略附加到任何 IAM 用户,我可以在帐户的组织面板中的 SCP 管理器中执行相同的操作。
但是,可以添加和管理组织的视图仅在主帐户上可用。当我尝试从 cli 执行此操作时也是如此。
是否有可能委派此责任,例如 UNIT 经理可以在他们自己的控制台中创建子单元?
amazon-web-services - 我在组织中的 aws 上创建了资源,但我的同事无权访问它们
这似乎是一个愚蠢的问题,但我的朋友设置了一个 aws 组织帐户,让我加入它,然后我在我的帐户中创建了资源。由于我的帐单是由组织“支付”的,我认为这些资源可供组织内的任何人使用。似乎它不像那样工作,经过研究,虽然我指向 IAM 管理,但我看不到组织它并确保不再发生这种情况的方法。所以我的问题是,我是这些资源的所有者还是组织。我怎样才能让组织处理这些资源?在此先感谢您的帮助
amazon-web-services - 在 aws 中分离实时环境和测试环境的最佳方法
我想在 AWS 中提供测试和实时环境。我的环境包含 AWS 服务,例如 Lambda、API-Gateway 等,用于测试目的和实时使用。
在 AWS 中分离测试和实时环境的最佳方法是什么?
创建一个具有主帐户的组织并将此主帐户用于实时环境,然后创建另一个属于同一组织的帐户并将其用于测试环境是否是个好主意?
amazon-web-services - 如何通过 AWS Organizations 创建的根账户新访问?
我创建了一个 AWS 组织来尝试项目管理方法 #3 - AWS 帐户分离。使用这种方法,我将在项目之间明确分离,这样它们就无法访问彼此的资源。
为了观察资源分离,我需要在每个组织单位中至少有一个单独的帐户,因此我创建了一个帐户而不是邀请现有帐户并将其分配给必要的组织单位。
之后让我感到困惑的是该帐户已成功创建,并且我收到了两封来自亚马逊的“欢迎”电子邮件,但没有一个提供此新创建帐户的访问信息(就像通常的登录链接设置初始密码一样)。
因此我的问题是:如何登录这个新创建的 AWS 根账户?
amazon-web-services - 使用 Amazon EventBridge 在组织内发布和接收跨账户事件
我有一个 AWS 组织,下面有三个 AWS 账户:
master– 包含master-bus整个应用程序的(EventBridge 总线)order-service– 包含 lambdas 发布到master-busshipping-service– 包含由一些规则触发的 lambdasmaster-bus
绿流是理想的。红色是我目前正在工作的:
order-service将事件放到它自己的本地order-busorder-bus将所有事件发送到master-busmaster-bus将所有事件发送到所有子总线 (order-bus,shipping-bus)shipping-bus对初始事件进行规则过滤并发送到目标shipping-service
是否可以在主帐户中坚持使用单个事件总线?然后,是否有不同的帐户直接与之交互,而在每个单独的帐户中没有中间事件总线?
amazon-web-services - AWS 账户创建/删除的最佳实践
我们有一个用例,我们希望以编程方式为我们的 AWS 组织创建新的 AWS 账户。有时,我们会决定不再需要此帐户,并希望以编程方式将其删除。我知道 AWS 提供了一个 API 来创建一个帐户。但是,它们不提供用于删除帐户的功能——仅用于切断 AWS 组织和帐户之间的关系。
我们提出了 2 个关于如何处理此问题的选项:
- 创建一个 AWS 账户池。当我们删除一个时,按逻辑执行,然后将其释放到我们拥有的 AWS 账户池中。当我们需要一个新帐户时,首先重新使用我们池中未使用的帐户。这种方法增加了我们系统的复杂性。
- 使用自动化工具(例如Selenium)按照手动流程关闭 AWS 账户。这种方法很脆弱,并且会随着“关闭 AWS 账户”流程的变化而变化。
这两种方法都不优雅。管理我们希望以编程方式删除的 AWS 账户的首选方式是什么?