Terminologie et concepts relatifs à AWS Organizations - AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Terminologie et concepts relatifs à AWS Organizations

Pour vous aider à démarrer avec AWS Organizations, cette rubrique explique certains des concepts clés.

Le diagramme suivant illustre une organisation de base qui comprend cinq comptes organisés en quatre unités d'organisation sous la racine. L'organisation possède également plusieurs politiques attachées à certaines unités d'organisation ou directement aux comptes. Pour une description de chacun de ces éléments, reportez-vous aux définitions de cette rubrique.

Diagramme d'une organisation de base
Organisation

Une entité que vous créez pour consolider vos comptes AWS de manière à pouvoir les administrer comme une seule unité. Vous pouvez utiliser la console AWS Organizations de façon centralisée pour afficher et gérer tous vos comptes au sein de votre organisation. Une organisation possède un compte de gestion avec zéro ou plusieurs comptes membres. Vous pouvez organiser les comptes dans une structure hiérarchique de type arborescente, avec une racine en haut et des unités d'organisation imbriquées sous la racine. Chaque compte peut se trouver directement dans la racine ou être placé dans l'une des unités d'organisation de la hiérarchie. Une organisation possède la fonctionnalité déterminée par l'ensemble des fonctions que vous activez.

Racine

Le conteneur parent pour tous les comptes de votre organisation. Si vous appliquez une politique à la racine, elle s'applique à toutes les unités d'organisation et à tous les comptes de l'organisation.

Note

Actuellement, vous ne pouvez disposer que d'une seule racine. AWS Organizations la crée automatiquement pour vous lorsque vous créez une organisation.

Unité d'organisation (UO)

Un conteneur pour les comptes au sein d'une racine. Une unité d'organisation peut également contenir d'autres unités d'organisation, ce qui vous permet de créer une hiérarchie semblable à un arbre à l'envers, avec une racine en haut et des branches d'unités d'organisation qui descendent pour se terminer par des comptes qui représentent les feuilles de l'arbre. Lorsque vous attachez une politique à l'un des nœuds de la hiérarchie, elle se transmet en descendant et affecte toutes les branches (unités d'organisation) et les feuilles (comptes) en dessous. Une unité d'organisation peut posséder un seul parent et actuellement chaque compte peut être un membre d'une seule unité d'organisation.

Compte

Un compte dans Organizations est un Compte AWS standard qui contient vos ressources AWS et les identités qui peuvent accéder à ces ressources.

Astuce

Un compte AWS n'est pas la même chose qu'un compte d'utilisateur. Un utilisateur AWS est une identité que vous créez avec AWS Identity and Access Management (IAM) et prend la forme d'unutilisateur IAM avec des informations d'identification à long terme ou d'un rôle IAM avec informations d'identification à court terme. Un compte AWS individuel peut contenir et contient généralement de nombreux utilisateurs et rôles.

Il existe deux types de comptes dans une organisation : un compte unique désigné comme compte de gestion et un ou plusieurs comptes membres.

  • Le compte de gestion est le compte que vous utilisez pour créer l'organisation. À partir du compte de gestion de l'organisation, vous pouvez effectuer les opérations suivantes :

    • Créer des comptes dans l'organisation

    • Inviter d'autres comptes existants à rejoindre l'organisation

    • Supprimer des comptes de l'organisation

    • Désigner des comptes d'administrateur délégué

    • Gérer les invitations

    • Appliquer des politiques à des entités (racines, unités d'organisation ou comptes) au sein de l'organisation

    • Activer l'intégration aux services AWS supportés pour fournir des fonctionnalités de service dans tous les comptes de l'organisation.

    Le compte de gestion possède les responsabilités d'un compte souscripteur et est responsable du paiement de tous les frais accumulés par les comptes membres. Vous ne pouvez pas modifier le compte de gestion d'une organisation.

  • Les comptes membres constituent tous les autres comptes d'une organisation. Un compte ne peut être membre que d'une seule organisation à la fois. Vous pouvez attacher une politique à un compte pour appliquer des contrôles uniquement à ce compte.

    Note

    Vous pouvez désigner certains comptes membres comme comptes d'administrateur délégué. Consultez Administrateur délégué ci-dessous.

Administrateur délégué

Nous vous recommandons de n'utiliser le compte de gestion Organizations et ses utilisateurs et rôles que pour les tâches qui doivent être effectuées par ce compte. Nous vous recommandons de stocker vos ressources AWS dans d'autres comptes membres de l'organisation et de les garder en dehors du compte de gestion. En effet, les fonctionnalités de sécurité telles que les politiques de contrôle des services (SCP) de l'organisation ne restreignent pas les utilisateurs ou les rôles dans le compte de gestion. Le fait de séparer vos ressources de votre compte de gestion peut également vous aider à comprendre les frais figurant sur vos factures. À partir du compte de gestion de l'organisation, vous pouvez désigner un ou plusieurs comptes membres comme compte d'administrateur délégué pour vous aider à mettre en œuvre cette recommandation. Il existe deux types d'administrateurs délégués :

  • Administrateur délégué pour Organizations : à partir de ces comptes, vous pouvez gérer les politiques d'organisation et les associer à des entités (racines, unités d'organisation ou comptes) au sein de l'organisation. Le compte de gestion peut contrôler les autorisations de délégation à des niveaux granulaires. Pour en savoir plus, consultez Administrateur délégué pour AWS Organizations.

  • Administrateur délégué pour un service AWS : à partir de ces comptes, vous pouvez gérer les services AWS qui s'intègrent à Organizations. Le compte de gestion peut enregistrer différents comptes membres en tant qu'administrateurs délégués pour différents services, selon les besoins. Ces comptes disposent d'autorisations administratives pour un service spécifique, ainsi que d'autorisations pour les actions en lecture seule d'Organizations. Pour en savoir plus, consultez Administrateur délégué pour les services AWS intégrés à Organizations.

Invitation

Processus qui consiste à demander à un autre compte de rejoindre votre organisation. Une invitation ne peut être émise que par le compte de gestion de l'organisation. L'invitation est étendue à l'ID de compte ou à l'adresse e-mail associé(e) au compte invité. Une fois que le compte invité accepte une invitation, il devient un compte membre de l'organisation. Les invitations peuvent également être envoyées à tous les comptes membres actuels lorsque l'organisation a besoin que tous les membres approuvent la modification consistant à passer de la prise en charge des fonctions de facturation consolidée uniquement à la prise en charge de toutes les fonctions de l'organisation. Les invitations fonctionnent par l'échange de handshakes entre les comptes. Vous risquez de ne pas voir les handshakes lorsque vous utilisez la console AWS Organizations. Au contraire, si vous utilisez AWS CLI ou l'API AWS Organizations, vous devez utiliser directement les handshakes.

Handshake

Processus en plusieurs étapes consistant en l'échange d'informations entre deux parties. L'une de ses principales utilisation dans AWS Organizations est de servir d'implémentation sous-jacente pour les invitations. Les messages de handshake sont transmis entre l'initiateur et le destinataire du handshake, qui y répondent. Les messages sont transmis de sorte que les deux parties aient toujours connaissance du statut actuel. Les handshakes sont également utilisés lorsque l'organisation souhaite passer de la prise en charge des fonctions de facturation consolidée uniquement à la prise en charge de toutes les fonctions proposées par AWS Organizations. En général, vous interagissez directement avec des handshakes uniquement si vous utilisez l'API AWS Organizations ou des outils de ligne de commande tels que la AWS CLI.

Ensembles de fonctions disponibles

  • Toutes les fonctions : ensemble des fonctions par défaut disponibles pour AWS Organizations. Il inclut toutes les fonctionnalités de facturation consolidée, ainsi que des fonctions avancées qui vous donnent plus de contrôle sur les comptes de votre organisation. Par exemple, lorsque toutes les fonctions sont activées, le compte de gestion de l'organisation dispose d'un contrôle total sur les actions des comptes membres. Le compte de gestion peut appliquer des politiques de contrôle des services pour limiter les services et les actions auxquels les utilisateurs (y compris l'utilisateur racine) et les rôles d'un compte peuvent accéder. Le compte de gestion peut également empêcher les comptes membres de quitter l'organisation. Vous pouvez également activer l'intégration aux services AWS pris en charge pour permettre à ces services de fournir des fonctionnalités sur tous les comptes de votre organisation.

    Vous pouvez créer une organisation avec toutes les fonctions déjà activées ou activer toutes les fonctions d'une organisation qui ne prenait en charge à la base que les seules fonctions de facturation consolidée. Pour activer toutes les fonctions, tous les comptes membres invités doivent approuver la modification en acceptant l'invitation envoyée lorsque le compte de gestion commence le processus.

  • Facturation consolidée - cet ensemble de fonctions offre une fonctionnalité de facturation partagée, mais n'inclut pas les fonctions plus avancées de AWS Organizations. Par exemple, vous ne pouvez pas permettre à d'autres services AWS de s'intégrer à votre organisation pour opérer sur l'ensemble de ses comptes, ou utiliser des politiques pour restreindre les actions des utilisateurs et des rôles dans les différents comptes. Pour utiliser les fonctions avancées d'AWS Organizations, vous devez activer toutes les fonctions dans votre organisation.

Politique de contrôle des services

Politique qui spécifie les services et les actions que les utilisateurs et les rôles peuvent utiliser dans les comptes concernés par la politique de contrôle des services (SCP). Les SCP sont similaires aux politiques d'autorisation IAM, mais elles n'accordent pas d'autorisations. Au lieu de cela, elles spécifient les autorisations maximales pour une organisation, une unité d'organisation (UO) ou un compte. Lorsque vous attachez une politique de contrôle des services à la racine de votre organisation ou à une unité d'organisation, cette politique limite les autorisations des entités des comptes membres.

Listes d'autorisation et listes de refus

Les listes d'autorisation et les listes de refus sont des politiques complémentaires que vous pouvez utiliser lorsque vous appliquez des politiques de contrôle des services pour filtrer les autorisations disponibles pour les comptes.

  • Politique de liste d'autorisation : vous spécifiez explicitement l'accès qui est autorisé. Tous les autres accès sont implicitement bloqués. Par défaut, AWS Organizations attache une politique gérée AWS appelée FullAWSAccess à l'ensemble des racines, unités d'organisation et comptes. Cela garantit que lorsque vous créez votre organisation, rien n'est bloqué jusqu'à ce que vous le souhaitiez. En d'autres termes, toutes les autorisations sont accordées par défaut. Lorsque vous êtes prêt à limiter les autorisations, vous remplacez la politique FullAWSAccess par une autre qui autorise uniquement un ensemble plus limité et souhaité d'autorisations. Les utilisateurs et les rôles des comptes concernés ne peuvent alors exercer que ce niveau d'accès, même si leurs politiques IAM permettent toutes les actions. Si vous remplacez la politique par défaut sur la racine, tous les comptes de l'organisation sont concernés par les restrictions. Vous ne pouvez pas rajouter des autorisations à un niveau inférieur de la hiérarchie car une politique de contrôle des services n'accorde jamais d'autorisations ; elle ne fait que les filtrer.

  • Stratégie de liste de refus – Vous spécifiez explicitement l'accès qui n'est pas autorisé. Tous les autres accès sont autorisés. Dans ce scénario, toutes les autorisations sont accordées à moins qu'elles soient explicitement bloquées. Il s'agit du comportement par défaut d'AWS Organizations. Par défaut, AWS Organizations attache une politique gérée AWS appelée FullAWSAccess à l'ensemble des racines, unités d'organisation et comptes. Cela permet à n'importe quel compte d'accéder à tous les services et opérations sans aucune restriction imposée par AWS Organizations. Contrairement à la technique de liste d'autorisation décrite ci-dessus, lorsque vous utilisez des listes de refus, vous maintenez la politique FullAWSAccess par défaut (qui autorise « tous » les accès). Mais vous attachez ensuite des politiques supplémentaires qui refusent explicitement l'accès aux services et aux actions indésirables. À l'instar des politiques d'autorisation IAM, le refus explicite d'une action de service prend le pas sur toute autorisation de cette action.

Politique de désactivation des services d'intelligence artificielle (IA)

Type de politique qui vous aide à standardiser vos paramètres de désactivation pour les services d'intelligence artificielle AWS sur tous les comptes de votre organisation. Certains services d'intelligence artificielle AWS peuvent stocker et utiliser le contenu client traité par ces services pour le développement et l'amélioration continue des services et technologies d'intelligence artificielle d'Amazon. En tant que client d'AWS, vous pouvez utiliser des politiques de désactivation des services d'IA pour choisir de refuser que votre contenu soit stocké ou utilisé à des fins d'amélioration des services.

Politique de sauvegarde

Type de politique qui vous aide à standardiser et à mettre en œuvre une politique de sauvegarde pour les ressources de tous les comptes de votre organisation. Dans une politique de sauvegarde, vous pouvez configurer et déployer des plans de sauvegarde pour vos ressources.

Politique de balises

Type de politique qui vous aide à standardiser les balises entre les ressources de tous les comptes de votre organisation. Dans une politique de balises, vous pouvez spécifier des règles de balisage pour des ressources spécifiques.