问题标签 [aws-organizations]

有多种方法可以在 AWS Organizations 中自动创建账户，但删除/关闭呢？

到目前为止，看来我必须使用子帐户的root帐户登录才能关闭该帐户。反正有没有使用父根关闭成员帐户？看起来这应该是可能的。

IAM 中除根账户外只有 5 个用户。此策略具有明确的拒绝并附加在根级别（附加照片），但它不起作用。

“不起作用”的意思是 - 在 AWS 控制台中，我单击停止记录，它会停止记录。此外，我运行了命令以停止在 CLI 中登录，这也停止了记录 - 所以这个明确的拒绝在某处失败。

请注意，此测试是在 IAM 成员账户而非根账户上完成的。我只使用 root 帐户来设置 SCP。IAM 成员账户是超级用户，几乎可以完成 AWS 上的所有“管理工作”。

IAM 用户是否也需要链接到其他地方？它们不在 OU 中，但它们仍然是 IAM 中的帐户，所以我认为它们都继承了 root 权限（上图）

还认为明确的拒绝胜过所有其他政策中的所有其他决定，那么该政策不起作用的原因是什么？这些是仅有的 2 个服务控制策略（完全访问和拒绝 Cloudtrail 停止日志记录）。

除了创建策略并将其附加到根之外，还有其他因素吗？因为我认为这就是我们必须做的全部？可以放在其他地方的某种服务或角色豁免？

再次寻求有关 AWS 组织的建议。

如果我将一个新帐户加入我的组织，这是否意味着该帐户已链接到付款人帐户？还是我必须做其他事情才能将其链接到付款人帐户？

先感谢您。

我有一个 lambda 函数，它在 AWS 组织中担任子账户的角色。lambda 驻留在主帐户中。我需要将要承担的角色的角色 ARN 传递给此 lambda。我怎样才能做到这一点？如何使用 AWS Lambda 从主账户中检索驻留在子账户中的角色的角色 ARN？

如果我做 AWS config 多账户配置并将所有数据聚合到集中账户。

我可以从集中账户配置规则并创建补救措施吗？

跨账户修复是否适用于 AWS 配置？

我最近通过 aws support 发现，如果您组织的 Root 帐户不在免费套餐内，那么附加到 root 帐户的帐户也没有资格享受免费套餐，除非它是独立的（附加帐户是新帐户并有资格获得免费套餐）。

现在我的问题是，如果我创建一个新帐户，然后将其设为组织的根帐户，并将有资格获得免费套餐的帐户与组织关联。我是否有资格获得 AWS 免费套餐？

我正在尝试在我的主账户中配置 AWS 组织跟踪，但由于存储桶策略错误而失败。详细信息：我正在关注的指南在这里：https ://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws- cli.html

CLI 是具有 S3FullControl 和 CloudTrailFullControl 用于测试目的的 IAM 用户。使用这个简单的命令创建跟踪：

我收到此错误： 调用 CreateTrail 操作时发生错误 (InsufficientS3BucketPolicyException)：检测到存储桶的 S3 存储桶策略不正确： bucket-inna-org1

我试图向用户添加权限，但它没有改变任何东西。

存储桶策略是标准的 AWS 教科书内容，并在下面列出。谁能告诉我这里缺少什么？

{ "版本": "2012-10-17",

任何建议/方向将不胜感激。谢谢！

我有一个有四个账户的 AWS 组织。

我在其中一个账户中有一个 AWS Directory Service。（注意：不是主要的，重要的）

我正在使用这个 AWS DS 来验证我的 linux 机器。我阅读了https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_linux_instance.html来完成这项任务。

它在创建 AWS DS 的账户中运行良好

但是其他账户上的实例没有到达 AWS DS

然后，我阅读了https://docs.aws.amazon.com/directoryservice/latest/admin-guide/usecase6.html以及所有相关的内容。

所以，由于AWS DS没有进入主账户，我只有一个机会。使用Share this directory with other AWS 账户，握手。

我启用了 AWS 组织 -> 设置 -> AWS 服务的可信访问 -> AWS Directory Service。

我在 AWS DS 的所有者中创建了共享邀请。我接受了邀请。在这一点上，我不知道是否需要对等连接，但我不在乎，因为我拥有它并且工作正常。

我尝试使用邀请加入帐户中的机器，但没有成功。

至少，我没有到达 DNS。

在 acount 中拥有 AWS DS 的机器中...

在机器中的自动帐户...

任何想法？

注意：我不想在主账户中创建 AWS DS 以使用其他方法（“与组织内的 AWS 账户共享此目录”）。

我有这个服务控制策略。

而且我希望它强制执行一个规则，即标签是使用 of 创建的key，Name并且必须与value我在单独的策略中定义的列表关联，否则资源创建应该失败。

我不确定我做错了什么，因为仍然在没有key Name.

VPC 和 EC2 实例创建失败，没有Name预期的那样，但不是我觉得奇怪的安全组。

有没有办法强制所有ec2可标记资源在创建时必须具有keyofName和关联值？

我想在一个组织内使用多个 AWS 账户/组织单元 (Acct1/Acct2/etc)。从 AWS 控制台创建新账户（比如 Acct4）会导致自动创建 VPC（比如 VPC4）。有没有办法从 Terraform 创建一个新帐户（并控制生成的 VPC 的创建）？或者，如果我想在新账户中跟踪 VPC，我是否只需导入详细信息？提前致谢。