问题标签 [aws-organizations]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
amazon-web-services - 使用 Terraform 创建/销毁 AWS 账户?
我正在尝试创建一个工具来轻松地在我的 AWS 组织中创建和销毁 AWS 账户(或者如果无法删除它们,至少将它们从组织中删除)。这些帐户将成为预算很少的沙盒,并在几周后被销毁。
我发现 Terraform 有一个名为aws_organizations_account的特定资源。
但是,提到删除此 Terraform 资源只会从组织中删除 AWS 帐户。Terraform 不会关闭该帐户。会员账户必须事先准备好独立账户。有关更多信息,请参阅 AWS Organizations 文档。
我使用 terraform 部署了一个aws_organizations_account资源,它起作用了。但是当我试图删除该资源时,我是一个警告问题The member account must be configured with a valid payment method, such as a credit card
主文件
有没有办法解决这个问题?
amazon-web-services - 从组织中删除时如何删除 AWS 子账户?
是否有一种直观的方法可以在从 AWS 组织中删除子账户时自动删除它们?在将帐户视为环境时,这将特别有用。
如果有更好的方法来处理这个问题(可能我只是想错了?)我愿意接受其他建议。
amazon-web-services - 我可以使用组织单位 ID 授予对其他帐户的 lambda 访问权限吗?
我想创建一个 lambda,它将存在于一个中央帐户中,并且将由我的Organization中的其他帐户调用。我知道可以使用资源策略授予另一个个人帐户调用 lambda 的访问权限,但是我可以使用组织单位 ID 以某种方式授予对我组织中所有帐户的访问权限吗?如果是这样,怎么做?
理想情况下,我希望这样做,以便在我的组织中添加新帐户时,他们将自动有权调用 lambda,而无需我更新策略并通过个人帐户 ID 授予他们访问权限。
amazon-web-services - 如何将 AWS Organizations 下的 aws 账户注册到 Control Tower 创建的 OU
我想将在 aws 组织中创建的 2 个 aws 帐户注册到根帐户 2 中控制塔创建的组织单元中,例如根帐户 1。
这里的主要问题是这两个 root 帐户是完全不同的帐户,并且它们没有以任何方式相互关联。
amazon-web-services - 将 AWS 账户移动到另一个 AWS 组织
我有一个带有联网、日志记录、安全性和许多自定义 AWS 账户的 AWS 登陆区设置。所有入口/出口连接都通过网络帐户。
我想设置一个全新的登陆区(AWS 组织)并将所有自定义 AWS 账户移动到该登陆区。如果我将账户移动到新的 AWS 组织,现有的网络连接是否会继续工作(中转网关附件、路由表等)?
amazon-web-services - 无法跨账户使用 Lambda 将 ACM 公共证书附加到 ALB 侦听器
我正在使用主账户中的 lambda 函数在 AWS 组织账户中创建 ACM 公有证书,
创建 ACM 证书并附加侦听器的代码是:
但我收到此错误:
任何人请帮忙。主域在主帐户中,并为子域 aws 组织跨帐户创建证书。
amazon-web-services - 要使用 KMS 加密的 Secrets Manager 密钥的 SCP
任何人都可以帮助我了解是否有 Guardrails SCP,您可以在组织级别为 Secrets Manager 使用 KMS 加密的 Secrets
amazon-web-services - AWS Control Tower Guardrail - 防止使用加密创建 S3 存储桶
我们已经应用了这篇文章中提到的护栏,AWS 预防性 S3 护栏。1 . 不幸的是,我们没有得到预期的结果。我们对 Amazon S3 存储桶2的加密配置应用了不允许更改。
SCP 对 s3:PutEncryptionConfiguration 有一个拒绝,条件是 arn:aws:iam::*:role/AWSControlTowerExecution 角色除外。
问题是任何人都可以创建 S3 存储桶,这是可以接受的。但是,当在控制台或通过 CloudFormation 创建存储桶并尝试指定加密 SSE 或 KMS 时,会生成错误并且创建的存储桶没有加密。
理想情况下,我们需要让任何人都能够创建 S3 存储桶并启用加密。我们希望这个 SCP 能做的是防止在应用到存储桶后删除加密。
我们预计文章中提到的其他护栏会出现类似问题:
禁止更改所有 Amazon S3 存储桶的加密配置 [以前:为日志存档启用静态加密] 禁止更改所有 Amazon S3 存储桶的日志配置 [以前:为日志存档启用访问日志] 禁止更改所有 Amazon S3 的存储桶策略存储桶 [以前:禁止对日志存档进行策略更改] 禁止更改所有 Amazon S3 存储桶的生命周期配置 [以前:为日志存档设置保留策略]
有没有人遇到过这个问题?实现允许使用所需的加密、日志记录、存储桶策略和生命周期创建存储桶并在创建存储桶后禁止删除或更改的最佳实施方式是什么?
amazon-web-services - AWS 组织 SCP 策略不适用于 S3 存储桶
我们遇到了 AWS Managed Guardrail “不允许更改 Amazon S3 存储桶的加密配置”的问题,它拒绝了“s3:PutEncryptionConfiguration”。
这阻止了我们在第一次创建存储桶时向存储桶添加加密。
理想情况下,我们希望确保加密一旦应用就不能被删除。我将策略修改为拒绝删除加密。
但是,禁用加密时,我并没有按预期停止。我确实在 CloudTrail 中看到了调用。我不明白为什么 SCP 不阻止行动。
SCP:
AWS 托管策略在这里:Elective Guardrails - AWS Control Tower
谢谢!
amazon-web-services - 使用 AWS IoT 管理多个客户
我正在围绕 aws 技术构建我的产品,主要使用物联网。在阅读了所有服务之后,我可能会使用 Kinesis、Lambda 和 Greengrass。
管理同一个 AWS 组织中的所有客户是否可行?这是建议还是普遍做法?
我相信每个客户都有一个组织会更安全,因为这将是一个更加孤立的环境,但另一方面,这也意味着我需要为每个客户复制 lambda 函数、greengrass 组件(食谱等),并且很可能更好地管理权限,涉及到 CI 上的大量工作来自动化所有这些。
每个客户一个 AWS 组织是否可行?或者我应该如何分割我的资源?谢谢
编辑:解决@John Rotenstein 的问题。他们将无法直接访问 AWS,但他们可以访问仪表板(他们需要对其进行识别)来读取有关其资源的指标(例如温度传感器)。当然,其他人的资源不应该是可访问的。需要向特定客户识别数据(因此我们可以通过他们可以访问的仪表板直接向他们提供指标)。关于数据的存储方式,它可能在不同的数据库或帐户中(当前的问题是关于这个,所以还不确定)。最后,客户将遵循订阅模式。