Utilisation AWS Organizations avec d'autres Services AWS - AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation AWS Organizations avec d'autres Services AWS

Vous pouvez utiliser l'accès sécurisé pour permettre à un AWS service pris en charge que vous spécifiez, appelé service sécurisé, d'effectuer des tâches au sein de votre organisation et de ses comptes en votre nom. Cela implique l'octroi d'autorisations au service approuvé mais n'affecte pas par ailleurs les autorisations pour les utilisateurs et les rôles . Lorsque vous activez l'accès, le service sécurisé peut créer un IAM rôle appelé rôle lié à un service dans chaque compte de votre organisation chaque fois que ce rôle est nécessaire. Ce rôle dispose d'une politique d'autorisations qui autorise le service approuvé à effectuer les tâches qui sont décrites dans la documentation de ce service. Cela vous permet de spécifier des paramètres et des détails de configuration que vous voulez que le service approuvé gère en votre nom dans les comptes de votre organisation. Le service approuvé crée des rôles liés au service uniquement lorsqu'il doit effectuer des actions de gestion au niveau des comptes, et pas nécessairement dans tous les comptes de l'organisation.

Important

Lorsque l'option est disponible, nous vous recommandons vivement d'activer et de désactiver l'accès sécurisé en utilisant uniquement la console du service sécurisé, AWS CLI ou ses équivalents API opérationnels. Cela permet au service approuvé d'effectuer toute initialisation requise lors de l'activation de l'accès approuvé, par exemple la création des ressources requises et le nettoyage qui s'impose des ressources lors de la désactivation de l'accès approuvé.

Pour plus d'informations sur la façon d'activer ou de désactiver l'accès aux services approuvés à votre organisation à l'aide du service approuvé, consultez En savoir plussous la colonne Prise en charge de l'accès approuvé à l'adresse Services AWS que vous pouvez utiliser avec AWS Organizations.

Si vous désactivez l'accès à l'aide de la console Organizations, de CLI commandes ou d'APIopérations, les actions suivantes se produisent :

  • Le service ne peut plus créer un rôle lié à un service dans les comptes de votre organisation. Cela signifie que le service ne peut pas effectuer d'opérations en votre nom sur les nouveaux comptes de votre organisation. Le service peut toujours effectuer des opérations dans des comptes plus anciens jusqu'à ce que le service ait terminé son nettoyage à partir d' AWS Organizations.

  • Le service ne peut plus effectuer de tâches dans les comptes des membres de l'organisation, sauf si ces opérations sont explicitement autorisées par les IAM politiques associées à vos rôles. Cela inclut toute agrégation de données des comptes membres vers le compte de gestion ou vers un compte d'administrateur délégué, le cas échéant.

  • Certains services détectent cela et nettoient toutes les données ou ressources restantes liées à l'intégration, tandis que d'autres services cessent d'accéder à l'organisation, mais laissent les données historiques et la configuration en place pour prendre en charge une éventuelle réactivation de l'intégration.

Au lieu de cela, en utilisant la console ou des commandes de l'autre service pour désactiver l'intégration, vous permettez à l'autre service de nettoyer toutes les ressources nécessaires uniquement pour l'intégration. La façon dont le service nettoie ses ressources dans les comptes de l'organisation dépend de ce service. Pour plus d'informations, consultez la documentation de l'autre service AWS .

Autorisations requises pour activer l'accès approuvé

L'accès sécurisé nécessite des autorisations pour deux services : AWS Organizations et le service sécurisé. Pour activer l'accès approuvé, choisissez l'un des scénarios suivants :

  • Si vous disposez d'informations d'identification avec des autorisations à la fois dans le service sécurisé AWS Organizations et dans le service sécurisé, activez l'accès à l'aide des outils (console ou AWS CLI) fournis par le service sécurisé. Cela permet au service d'activer un accès sécurisé AWS Organizations en votre nom et de créer toutes les ressources nécessaires au fonctionnement du service dans votre organisation.

    Les autorisations minimales pour ces informations d'identification sont les suivantes :

    • organizations:EnableAWSServiceAccess. Vous pouvez également utiliser la clé de condition organizations:ServicePrincipal avec cette opération pour limiter les demandes que ces opérations effectuent à une liste de noms de principaux de service approuvé. Pour de plus amples informations, veuillez consulter Clés de condition.

    • organizations:ListAWSServiceAccessForOrganization— Obligatoire si vous utilisez la AWS Organizations console.

    • Les autorisations minimales qui sont requises par le service approuvé dépendent du service. Pour plus d'informations, consultez la documentation du service approuvé.

  • Si une personne possède des informations d'identification avec des autorisations AWS Organizations mais qu'une autre possède des informations d'identification avec des autorisations dans le service sécurisé, effectuez ces étapes dans l'ordre suivant :

    1. La personne qui possède des informations d'identification et des autorisations AWS Organizations doit utiliser la AWS Organizations console AWS CLI, le ou un AWS SDK pour activer un accès sécurisé au service sécurisé. Cette opération accorde à l'autre service l'autorisation d'effectuer sa configuration requise dans l'organisation lorsque l'étape suivante (étape 2) est exécutée.

      Les AWS Organizations autorisations minimales sont les suivantes :

      • organizations:EnableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization— Obligatoire uniquement si vous utilisez la AWS Organizations console

      Pour connaître les étapes permettant d'activer l'accès sécurisé dans AWS Organizations, voirProcédure pour activer ou désactiver l'accès approuvé.

    2. La personne qui dispose des informations d'identification avec des autorisations dans le service approuvé permet à ce service de fonctionner avec AWS Organizations. Cela indique au service d'effectuer toute initialisation nécessaire, telle que la création de toutes les ressources requises par le service approuvé pour fonctionner dans l'organisation. Pour plus d'informations, consultez les instructions propres au service concerné dans Services AWS que vous pouvez utiliser avec AWS Organizations.

Autorisations requises pour désactiver l'accès approuvé

Lorsque vous ne voulez plus autoriser le service approuvé à fonctionner dans votre organisation ni ses comptes, choisissez l'un des scénarios suivants.

Important

La désactivation de l'accès au service approuvé n'empêche pas les utilisateurs et les rôles dotés des autorisations appropriées d'utiliser ce service. Pour empêcher complètement les utilisateurs et les rôles d'accéder à un AWS service, vous pouvez supprimer les IAM autorisations qui accordent cet accès, ou vous pouvez utiliser les politiques de contrôle des services (SCPs) dans AWS Organizations.

Vous ne pouvez faire une demande que SCPs pour les comptes des membres. SCPsne s'appliquent pas au compte de gestion. Nous vous recommandons de ne pas exécuter de services dans le compte de gestion. Exécutez-les plutôt dans des comptes membres où vous pouvez contrôler la sécurité en utilisantSCPs.

  • Si vous disposez d'informations d'identification avec des autorisations à la fois pour le service sécurisé AWS Organizations et pour le service sécurisé, désactivez l'accès à l'aide des outils (console ou AWS CLI) disponibles pour le service sécurisé. Le service est ensuite nettoyé via la suppression des ressources qui ne sont plus nécessaires et la désactivation de l'accès approuvé pour le service dans AWS Organizations en votre nom.

    Les autorisations minimales pour ces informations d'identification sont les suivantes :

    • organizations:DisableAWSServiceAccess. Vous pouvez également utiliser la clé de condition organizations:ServicePrincipal avec cette opération pour limiter les demandes que ces opérations effectuent à une liste de noms de principaux de service approuvé. Pour de plus amples informations, veuillez consulter Clés de condition.

    • organizations:ListAWSServiceAccessForOrganization— Obligatoire si vous utilisez la AWS Organizations console.

    • Les autorisations minimales requises par le service approuvé dépendent du service. Pour plus d'informations, consultez la documentation du service approuvé.

  • Si les informations d'identification contenant des autorisations AWS Organizations ne sont pas celles du service sécurisé, effectuez ces étapes dans l'ordre suivant :

    1. La personne avec des autorisations dans le service approuvé commence par désactiver l'accès à l'aide de ce service. Cela ordonne au service approuvé de nettoyer en supprimant les ressources requises pour l'accès approuvé. Pour plus d'informations, consultez les instructions propres au service concerné dans Services AWS que vous pouvez utiliser avec AWS Organizations.

    2. La personne autorisée AWS Organizations peut ensuite utiliser la AWS Organizations console ou un AWS SDK pour désactiver l'accès au service sécurisé. AWS CLI Cela élimine de l'organisation et de ses comptes les autorisations pour le service approuvé.

      Les AWS Organizations autorisations minimales sont les suivantes :

      • organizations:DisableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization— Obligatoire uniquement si vous utilisez la AWS Organizations console

      Pour connaître les étapes à suivre pour désactiver l'accès sécurisé dans AWS Organizations, consultezProcédure pour activer ou désactiver l'accès approuvé.

Procédure pour activer ou désactiver l'accès approuvé

Si vous disposez d'autorisations uniquement pour AWS Organizations et que vous souhaitez activer ou désactiver l'accès sécurisé à votre organisation au nom de l'administrateur de l'autre AWS service, suivez la procédure suivante.

Important

Lorsque l'option est disponible, nous vous recommandons vivement d'activer et de désactiver l'accès sécurisé en utilisant uniquement la console du service sécurisé, AWS CLI ou ses équivalents API opérationnels. Cela permet au service approuvé d'effectuer toute initialisation requise lors de l'activation de l'accès approuvé, par exemple la création des ressources requises et le nettoyage qui s'impose des ressources lors de la désactivation de l'accès approuvé.

Pour plus d'informations sur la façon d'activer ou de désactiver l'accès aux services approuvés à votre organisation à l'aide du service approuvé, consultez En savoir plussous la colonne Prise en charge de l'accès approuvé à l'adresse Services AWS que vous pouvez utiliser avec AWS Organizations.

Si vous désactivez l'accès à l'aide de la console Organizations, de CLI commandes ou d'APIopérations, les actions suivantes se produisent :

  • Le service ne peut plus créer un rôle lié à un service dans les comptes de votre organisation. Cela signifie que le service ne peut pas effectuer d'opérations en votre nom sur les nouveaux comptes de votre organisation. Le service peut toujours effectuer des opérations dans des comptes plus anciens jusqu'à ce que le service ait terminé son nettoyage à partir d' AWS Organizations.

  • Le service ne peut plus effectuer de tâches dans les comptes des membres de l'organisation, sauf si ces opérations sont explicitement autorisées par les IAM politiques associées à vos rôles. Cela inclut toute agrégation de données des comptes membres vers le compte de gestion ou vers un compte d'administrateur délégué, le cas échéant.

  • Certains services détectent cela et nettoient toutes les données ou ressources restantes liées à l'intégration, tandis que d'autres services cessent d'accéder à l'organisation, mais laissent les données historiques et la configuration en place pour prendre en charge une éventuelle réactivation de l'intégration.

Au lieu de cela, en utilisant la console ou des commandes de l'autre service pour désactiver l'intégration, vous permettez à l'autre service de nettoyer toutes les ressources nécessaires uniquement pour l'intégration. La façon dont le service nettoie ses ressources dans les comptes de l'organisation dépend de ce service. Pour plus d'informations, consultez la documentation de l'autre AWS service.

AWS Management Console
Pour activer l'accès au service approuvé
  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.

  2. Dans la page Services, recherchez la ligne du service que vous souhaitez activer et choisissez son nom.

  3. Choisissez Activer l'accès approuvé.

  4. Dans la boîte de dialogue de confirmation, cochez la case Afficher l'option pour activer l'accès approuvé, saisissez enable dans la zone, puis choisissez Activer l'accès approuvé.

  5. Si vous activez l'accès, dites à l'administrateur de l'autre AWS service qu'il peut désormais activer l'autre service pour qu'il fonctionne avec celui-ci AWS Organizations.

Pour désactiver l'accès au service approuvé
  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.

  2. Dans la page Services, recherchez la ligne du service que vous souhaitez désactiver et choisissez son nom.

  3. Attendez que l'administrateur de l'autre service vous indique que le service est désactivé et que les ressources ont été nettoyées.

  4. Dans la boîte de dialogue de confirmation, saisissez disable dans la zone, puis choisissez Désactiver l'accès approuvé.

AWS CLI, AWS API
Pour activer ou désactiver l'accès à un service approuvé

Vous pouvez utiliser les AWS CLI commandes ou API opérations suivantes pour activer ou désactiver l'accès aux services sécurisés :

AWS Organizations et rôles liés aux services

AWS Organizations utilise des rôles IAM liés aux services pour permettre à des services fiables d'effectuer des tâches en votre nom sur les comptes membres de votre organisation. Lorsque vous configurez un service approuvé et l'autorisez à s'intégrer à votre organisation, ce service peut demander à ce qu' AWS Organizations crée un rôle lié à un service dans son compte membre. Le service approuvé fait cela de façon asynchrone selon les besoins et pas nécessairement dans tous les comptes de l'organisation au même moment. Le rôle lié à un service possède IAM des autorisations prédéfinies qui permettent au service fiable d'effectuer uniquement des tâches spécifiques au sein de ce compte. D'une manière générale, AWS gère tous les rôles liés à un service. En d'autres termes, vous ne pouvez pas modifier les rôles ou les politiques attachées.

Pour rendre cela possible, lorsque vous créez un compte dans une organisation ou lorsque vous acceptez une invitation à joindre votre compte existant à une organisation, AWS Organizations alloue au compte membre un rôle lié à un service nommé AWSServiceRoleForOrganizations. Seul le AWS Organizations service lui-même peut assumer ce rôle. Le rôle dispose d'autorisations qui permettent de créer des rôles liés AWS Organizations à un service pour d'autres personnes. Services AWS Ce rôle lié à un service est présent dans toutes les organisations.

Bien que cela ne soit pas conseillé, si seules des fonctions de facturation consolidée sont activées pour votre organisation, le rôle lié à un service nommé AWSServiceRoleForOrganizations n'est jamais utilisé et vous pouvez le supprimer. Si par la suite vous souhaitez activer toutes les fonctions dans votre organisation, le rôle sera requis et vous devrez le restaurer. Les vérifications suivantes sont effectuées lorsque vous initiez le processus d'activation de toutes les fonctions :

  • Pour chaque compte membre qui a été invité à rejoindre l'organisation : l'administrateur du compte reçoit un message lui demandant son accord d'activer toutes les fonctions. Pour accepter la demande, l'administrateur doit avoir les autorisations organizations:AcceptHandshake et iam:CreateServiceLinkedRole si le rôle lié à un service (AWSServiceRoleForOrganizations) n'existe pas déjà. Si le rôle AWSServiceRoleForOrganizations existe déjà, l'administrateur a uniquement besoin de l'autorisation organizations:AcceptHandshake pour accepter la demande. Lorsque l'administrateur accepte la demande, AWS Organizations crée le rôle lié au service s'il n'existe pas déjà.

  • Pour chaque compte membre qui a été créé dans l'organisation : l'administrateur du compte reçoit une demande de recréer le rôle lié à un service. (L'administrateur du compte membre ne reçoit aucune demande visant à activer toutes les fonctions dans la mesure où l'administrateur du compte de gestion (anciennement appelé « compte principal ») est considéré comme le propriétaire des comptes membres créés.) AWS Organizations crée le rôle lié à un service lorsque l'administrateur du compte membre accepte la demande. L'administrateur doit disposer des autorisations organizations:AcceptHandshake et iam:CreateServiceLinkedRole pour accepter la proposition avec succès.

Après avoir activé toutes les fonctions dans votre organisation, vous n'aurez plus la possibilité de supprimer le rôle lié au service AWSServiceRoleForOrganizations dans aucun des comptes.

Important

AWS Organizations SCPsn'affectez jamais les rôles liés aux services. Ces rôles sont exempts de toute SCP restriction.