问题标签 [aws-organizations]

使用 AWS CLI，我如何输出仅包含账户名称和帐号的所有账户的列表？

下面的命令输出帐户名称和号码以及其他值，我该如何过滤？

我使用 AWS Control Tower 和 Organizations 来创建三个不同的环境（开发、测试和生产）账户。出于某种原因，它对三个帐户中的两个非常有效。我的测试帐户未显示在“服务目录”>“预配产品”下。我可以在那里看到我的另外两个帐户。

在“AWS Control Tower”>“帐户”下，该帐户有错误消息：“注册失败”。

我的问题是因为我在“服务目录”下看不到该帐户，我也无法删除它并重试。

如何撤消此操作以重新开始？

我希望对以下关于 aws 的场景有一些明确的答案。我在 aws 上有一个帐户（使用我自己的个人电子邮件），我曾经加入过别人拥有的组织。我正在使用我的帐户创建 EC2 实例并在其中安装一些 saas。组织的所有者和员工可以使用其 Web 界面（flask 应用程序）与 saas 进行交互，但他们不应该通过 ssh 连接到机器，因为代码是专有的……</p>

当然，我没有与任何人共享密钥对，也没有授予 iam 访问这些机器的任何人的权限。

我只是担心组织所有者是否可以以某种方式撤销密钥对，或者我不知道如何授予自己 ssh 访问权限或获取 ec2 机器磁盘。

我应该担心这些吗？当显然所有账单都由组织所有者支付和处理时，我如何确保专有代码在机器上是安全的？

问候

I have a client with an AWS account already supporting an existing production environment. They've contracted with us to build a new and large ecosystem of software but do not want to give us administrative control of their existing account. The solution we're going with to solve this is an AWS Organization and a new AWS Account for this new software.

My question is, will logging into their existing AWS Account and creating a new Organization be disruptive to existing production systems? I'm sure the answer is no, but I want to be validated beforehand.

Of course if we create SCPs and OUs we can disrupt services but I'm just asking about the act of creating the Organization.

I've done a ton of looking and even asked someone with several AWS certifications that wasn't sure of this so I hope someone here can provide some info on this

Thanks

我在 AWS 中管理多个账户：我们作为客户拥有的每家公司都有自己的组织，并且它们附加了一些 AWS 资源。

目前，用户使用 Cognito 以用户名和电子邮件登录（我们的根帐户上有一个池）并获得 JWT 令牌。此令牌中的信息之一是客户账户中用户的 aws_access_id 和 AWS_SECRET_ACCESS_KEY。然后，当他们在我们的 api 中发出请求时，他们使用这个令牌，我可以向 aws api 发出请求。

这是一个糟糕的设计，因为令牌可以很容易地解码，然后任何人都可以获得他们帐户的 aws 凭证（它们没有被编码）。

现在，我不知道如何改善流程……保持 Cognito 会很好，但保护我的代币非常重要。你有什么建议？

编辑：我尝试使用身份池。使用身份池，您可以使用 cognito 连接电子邮件/密码，并接收授予特定角色访问权限的 aws 凭证。然后，此角色可以访问另一个帐户的资源。您“只”需要为每个帐户创建一个角色。我看到的问题是直接向我的客户提供访问、秘密、会话。有什么选择吗？

原谅问题标题的糟糕措辞，但实际上我们在进行地形时遇到了这样一种情况，plan最后我们会遇到一个模糊的单行访问被拒绝异常。

现在我无论如何都不是 terraform 专家（我是开发人员），但我已经多次检查过，并且在我们的 tf 代码中没有任何地方尝试调用显式描述帐户。

我尝试使用重新初始化和运行计划TF_LOG_CORE=trace TF_LOG_PROVIDER=trace TF_LOG=trace，虽然其他所有内容都在更详细地记录，但这条线仍然继续自行出现，没有任何进一步的有用信息。

当我们的安全人员对我们的 AWS 访问进行一些更改时，我们最初发现了这种情况，包括引入 AWS SSO 配置文件（很可能是不相关的）以及将状态存储桶从旧账户移动到新的 Ops 账户，所以我最好的猜测atm 是提供程序更改造成的。为了公平起见，更改远程后端配置的过程也是使用 terraform 优雅地完成的。

谷歌搜索后，我发现的结果很少，除了有人在这里发布了类似的东西。

为了使事情更加混乱，在此之前和之后完成的 API 调用（我相信登录跟踪和状态锁，例如 POST 到dynamodb/GetItemor Action=DescribeVpnConnections）都返回 200 个响应代码，因此似乎没有立即导致此错误.

更多关于版本和系统配置：

MacOS Big Sur 11.2.3（和亚特兰蒂斯）Terraform v0.14.8。provider registry.terraform.io/hashicorp/aws v3.46.0 如上所述，我们使用的是远程 S3 后端。

例如，与“健康”帐户相比，我可以看到围绕这一点的日志如下：

我想知道我们是否可以查明是哪个 TF 操作/AWS 调用导致了这种情况，以及它是否是 terraform 提供程序/模块进行的调用。鉴于提供的信息很少，我更倾向于在故障排除方面提供下一步操作的提示，而不是最终答案。

完全没有想法，有什么线索吗？如果您需要任何代码片段或更多日志，请告诉我，我可以提供，但实际上我也看到了这些！

干杯，

我正在搞乱我的 AWS 组织，我试图找到一种方法来查看我的身份受到哪些服务控制策略的约束。

例如，我有一个管理帐户，我在其中创建了一个 SCP，Deny bugbust:*并将该 SCP 附加到成员帐户 A。政策文档：

当我在会员账户 A 中测试 bugbust 操作时，我被拒绝（如预期的那样），并且它说我被我的组织拒绝。

我的问题：会员账户A中的委托人有没有办法在不承担管理账户的情况下查看SCP的政策文件？

理想情况下，我想让成员账户 A 中的用户了解他们的 SCP 边界，而不给他们任何组织访问主账户的权限。我担心这是不可能的，但我只是想确认一下。

我曾经有一个 OU 让我们使用帐户 prod 和 ss 调用 x，然后我创建了一个新的 OU 让 y 将其称为 y。

现在我正在尝试将 prod 和 ss 从 OU x 移动到 OU y。然而，这一直失败。当我尝试重新注册 OU y 以确定这是否会解决它时，我收到以下错误：

在某个时候，我下载了包含以下信息的预检查表：

我去了服务目录并将自己添加为 IAM 用户，但问题仍然存在。我怎样才能解决这个问题？

我正在帮助我的客户从前端到后端开发网站。

网站上线后，我将帮助客户托管2年。
2年后，我需要把整个网站交给我的客户，包括前端和后端。因此，我正在寻找一种在未来更好地移交的方法。

对于网络托管，我使用的是 Cloudfront。
对于服务器托管，我使用的是 EC2
，并且正在使用更多的 Aws 服务。

目前我正在考虑使用 Aws 组织来创建一个成员帐户 ( MemberA)。

创建完之后MemberA，我将登录MemberA以创建我需要的 Aws 服务。
此时，我的 Root 帐户可以支付服务MemberA使用费。

2年后，如果我将整个项目移交给我的客户，我应该怎么做才能消除我的Root帐户与 之间的关系MemberA，以便我可以将MemberA帐户交给我的客户并让他们自己支付账单？

更新 1：
是否Move或Remove from Organization在下图中能够解决我的问题？

更新 2：

来自aws 文档，

当成员账户离开组织时，该账户产生的所有费用将直接计入独立账户。即使帐户移动只需一分钟即可处理，会员帐户也可能会产生一些费用。如果您在更新会员账户的付款方式方面需要帮助，请联系 AWS Support。确保您有计划解决会员账户产生的这些费用。例如，如果要求您向成员账户添加信用卡以支付费用，请计划一个内部流程来补偿关联账户在迁移期间使用其自己的付款方式。将成员账户添加到新组织时，费用将计入新的付款人账户。

这是否意味着我可以执行以下步骤来转移帐户？

我正在尝试在我的组织内创建一个新项目，该项目将有自己的预算。我正在尝试在我的组织内sanbox-aws-de使用自己的预算调用一个独立的项目，并且该项目的所有者将是john.doe@company.com（我只希望他能够登录该项目，创建资源和删除资源）

这是我在 AWS 上的组织的当前概述（我更改了项目名称、ID 和电子邮件）：

我最近创建了一个名为sanbox-aws-de. 我希望这个新项目的所有者是 John Doe ( john.doe@company.com)。当我尝试使用创建项目sanbox-aws-de时john.doe@company.com，它不起作用，因为“电子邮件已经存在”。

所以我所做的就是将帐户创建为john.doe+sandboxs@company.com. 新项目已成功创建，但我不确定它是否是我正在寻找的，也不确定什么是正确的登录方式。

我尝试以 John Doe 的身份登录新帐户，但没有成功：

如何使用他自己的项目预算为 John Joe 创建一个简单的独立项目？