Utilisation d'AWS Organizations avec d'autres services AWS

Vous pouvez utiliser l'accès approuvé pour permettre à un service AWS supporté que vous spécifiez, appelé le service approuvé, d'effectuer des tâches dans votre organisation et dans ses comptes en votre nom. Cela implique l'octroi d'autorisations au service approuvé mais n'affecte pas par ailleurs les autorisations pour les utilisateurs et les rôles . Lorsque vous activez l'accès, le service approuvé peut créer un rôle IAM appelé rôle lié à un service dans chaque compte de votre organisation, chaque fois qu'il en a besoin. Ce rôle dispose d'une politique d'autorisations qui autorise le service approuvé à effectuer les tâches qui sont décrites dans la documentation de ce service. Cela vous permet de spécifier des paramètres et des détails de configuration que vous voulez que le service approuvé gère en votre nom dans les comptes de votre organisation. Le service approuvé crée des rôles liés au service uniquement lorsqu'il doit effectuer des actions de gestion au niveau des comptes, et pas nécessairement dans tous les comptes de l'organisation.

Important

Nous vous recommandons fortement, lorsque l'option est disponible, d'activer et de désactiver l'accès approuvé uniquement en utilisant la console du service approuvé ou ses équivalents via l'AWS CLI ou une API. Cela permet au service approuvé d'effectuer toute initialisation requise lors de l'activation de l'accès approuvé, par exemple la création des ressources requises et le nettoyage qui s'impose des ressources lors de la désactivation de l'accès approuvé.

Pour plus d'informations sur la façon d'activer ou de désactiver l'accès aux services approuvés à votre organisation à l'aide du service approuvé, consultez En savoir plussous la colonne Prise en charge de l'accès approuvé à l'adresse AWS services que vous pouvez utiliser avec AWS Organizations.

Si vous désactivez l'accès à l'aide de la console Organizations, de commandes CLI ou d'opérations API, il se passe ce qui suit :

• Le service ne peut plus créer un rôle lié à un service dans les comptes de votre organisation. Cela signifie que le service ne peut pas effectuer d'opérations en votre nom sur les nouveaux comptes de votre organisation. Le service peut toujours effectuer des opérations dans des comptes plus anciens jusqu'à ce que le service ait terminé son nettoyage à partir d'AWS Organizations.

• Le service ne peut plus effectuer de tâches dans les comptes de membres de l'organisation, sauf si ces opérations sont explicitement autorisées par les politiques IAM associées à vos rôles. Cela inclut toute agrégation de données des comptes membres vers le compte de gestion ou vers un compte d'administrateur délégué, le cas échéant.

• Certains services détectent cela et nettoient toutes les données ou ressources restantes liées à l'intégration, tandis que d'autres services cessent d'accéder à l'organisation, mais laissent les données historiques et la configuration en place pour prendre en charge une éventuelle réactivation de l'intégration.

Au lieu de cela, en utilisant la console ou des commandes de l'autre service pour désactiver l'intégration, vous permettez à l'autre service de nettoyer toutes les ressources nécessaires uniquement pour l'intégration. La façon dont le service nettoie ses ressources dans les comptes de l'organisation dépend de ce service. Pour plus d'informations, consultez la documentation de l'autre service AWS.

Autorisations requises pour activer l'accès approuvé

L'accès approuvé nécessite des autorisations pour deux services : AWS Organizations et le service approuvé. Pour activer l'accès approuvé, choisissez l'un des scénarios suivants :

• Si vous avez des informations d'identification avec des autorisations dans AWS Organizations et le service approuvé, activez l'accès à l'aide des outils (console ou AWS CLI) disponibles dans le service approuvé. Cela permet au service approuvé d'activer l'accès approuvé dans AWS Organizations en votre nom et de créer toutes les ressources requises par le service pour fonctionner dans votre organisation.

  Les autorisations minimales pour ces informations d'identification sont les suivantes :

  • organizations:EnableAWSServiceAccess. Vous pouvez également utiliser la clé de condition organizations:ServicePrincipal avec cette opération pour limiter les demandes que ces opérations effectuent à une liste de noms de principaux de service approuvé. Pour de plus amples informations, consultez Clés de condition.

  • organizations:ListAWSServiceAccessForOrganization : Nécessaire si vous utilisez la console AWS Organizations.

  • Les autorisations minimales qui sont requises par le service approuvé dépendent du service. Pour plus d'informations, consultez la documentation du service approuvé.

• Si une personne dispose d'informations d'identification avec des autorisations dans AWS Organizations mais que quelqu'un d'autre a des informations d'identification avec des autorisations dans le service approuvé, effectuez les étapes suivantes dans l'ordre suivant :

  1. La personne qui dispose des informations d'identification avec des autorisations dans AWS Organizations doit utiliser la console AWS Organizations, l'AWS CLI ou un kit SDK AWS pour activer l'accès approuvé pour le service approuvé. Cette opération accorde à l'autre service l'autorisation d'effectuer sa configuration requise dans l'organisation lorsque l'étape suivante (étape 2) est exécutée.

     Les autorisations AWS Organizations minimales sont les suivantes :

     • organizations:EnableAWSServiceAccess

     • organizations:ListAWSServiceAccessForOrganization – Nécessaire uniquement si vous utilisez la console AWS Organizations

     Pour les étapes permettant l'activation de l'accès approuvé dans AWS Organizations, consultez Procédure pour activer ou désactiver l'accès approuvé.

  2. La personne qui dispose des informations d'identification avec des autorisations dans le service approuvé permet à ce service de fonctionner avec AWS Organizations. Cela indique au service d'effectuer toute initialisation nécessaire, telle que la création de toutes les ressources requises par le service approuvé pour fonctionner dans l'organisation. Pour plus d'informations, consultez les instructions propres au service concerné dans AWS services que vous pouvez utiliser avec AWS Organizations.

Autorisations requises pour désactiver l'accès approuvé

Lorsque vous ne voulez plus autoriser le service approuvé à fonctionner dans votre organisation ni ses comptes, choisissez l'un des scénarios suivants.

Important

La désactivation de l'accès au service approuvé n'empêche pas les utilisateurs et les rôles dotés des autorisations appropriées d'utiliser ce service. Pour empêcher complètement les utilisateurs et les rôles d'accéder à un service AWS, vous pouvez supprimer les autorisations IAM qui accordent cet accès ou vous pouvez utiliser les politiques de contrôle des services (SCP) dans AWS Organizations.

Vous pouvez appliquer des politiques de contrôle de service uniquement aux comptes membres. Les politiques de contrôle de service ne s'appliquent pas au compte de gestion. Nous vous recommandons de ne pas exécuter de services dans le compte de gestion. Au lieu de cela, exécutez-les dans des comptes de membres où vous pouvez contrôler la sécurité à l'aide de SCP.

• Si vous avez des informations d'identification avec des autorisations dans AWS Organizations et le service approuvé, désactivez l'accès à l'aide des outils (console ou AWS CLI) disponibles pour le service approuvé. Le service est ensuite nettoyé via la suppression des ressources qui ne sont plus nécessaires et la désactivation de l'accès approuvé pour le service dans AWS Organizations en votre nom.

  Les autorisations minimales pour ces informations d'identification sont les suivantes :

  • organizations:DisableAWSServiceAccess. Vous pouvez également utiliser la clé de condition organizations:ServicePrincipal avec cette opération pour limiter les demandes que ces opérations effectuent à une liste de noms de principaux de service approuvé. Pour de plus amples informations, consultez Clés de condition.

  • organizations:ListAWSServiceAccessForOrganization : Nécessaire si vous utilisez la console AWS Organizations.

  • Les autorisations minimales requises par le service approuvé dépendent du service. Pour plus d'informations, consultez la documentation du service approuvé.

• Si les informations d'identification avec des autorisations dans AWS Organizations ne sont pas les informations d'identification avec des autorisations dans le service approuvé, effectuez les étapes suivantes dans l'ordre suivant :

  1. La personne avec des autorisations dans le service approuvé commence par désactiver l'accès à l'aide de ce service. Cela ordonne au service approuvé de nettoyer en supprimant les ressources requises pour l'accès approuvé. Pour plus d'informations, consultez les instructions propres au service concerné dans AWS services que vous pouvez utiliser avec AWS Organizations.

  2. La personne dotée d'autorisations dans AWS Organizations peut alors utiliser la console AWS Organizations, AWS CLI ou un kit SDK AWS afin de désactiver l'accès pour le service approuvé. Cela élimine de l'organisation et de ses comptes les autorisations pour le service approuvé.

     Les autorisations AWS Organizations minimales sont les suivantes :

     • organizations:DisableAWSServiceAccess

     • organizations:ListAWSServiceAccessForOrganization – Nécessaire uniquement si vous utilisez la console AWS Organizations

     Pour les étapes permettant la désactivation de l'accès approuvé dans AWS Organizations, consultez Procédure pour activer ou désactiver l'accès approuvé.

Procédure pour activer ou désactiver l'accès approuvé

Si vous disposez d'autorisations uniquement pour AWS Organizations et que vous souhaitez activer ou désactiver l'accès approuvé à votre organisation au nom de l'administrateur de l'autre service AWS, utilisez la procédure suivante.

Important

Nous vous recommandons fortement, lorsque l'option est disponible, d'activer et de désactiver l'accès approuvé uniquement en utilisant la console du service approuvé ou ses équivalents via l'AWS CLI ou une API. Cela permet au service approuvé d'effectuer toute initialisation requise lors de l'activation de l'accès approuvé, par exemple la création des ressources requises et le nettoyage qui s'impose des ressources lors de la désactivation de l'accès approuvé.

Pour plus d'informations sur la façon d'activer ou de désactiver l'accès aux services approuvés à votre organisation à l'aide du service approuvé, consultez En savoir plussous la colonne Prise en charge de l'accès approuvé à l'adresse AWS services que vous pouvez utiliser avec AWS Organizations.

Si vous désactivez l'accès à l'aide de la console Organizations, de commandes CLI ou d'opérations API, il se passe ce qui suit :

• Le service ne peut plus créer un rôle lié à un service dans les comptes de votre organisation. Cela signifie que le service ne peut pas effectuer d'opérations en votre nom sur les nouveaux comptes de votre organisation. Le service peut toujours effectuer des opérations dans des comptes plus anciens jusqu'à ce que le service ait terminé son nettoyage à partir d'AWS Organizations.

• Le service ne peut plus effectuer de tâches dans les comptes de membres de l'organisation, sauf si ces opérations sont explicitement autorisées par les politiques IAM associées à vos rôles. Cela inclut toute agrégation de données des comptes membres vers le compte de gestion ou vers un compte d'administrateur délégué, le cas échéant.

• Certains services détectent cela et nettoient toutes les données ou ressources restantes liées à l'intégration, tandis que d'autres services cessent d'accéder à l'organisation, mais laissent les données historiques et la configuration en place pour prendre en charge une éventuelle réactivation de l'intégration.

Au lieu de cela, en utilisant la console ou des commandes de l'autre service pour désactiver l'intégration, vous permettez à l'autre service de nettoyer toutes les ressources nécessaires uniquement pour l'intégration. La façon dont le service nettoie ses ressources dans les comptes de l'organisation dépend de ce service. Pour plus d'informations, consultez la documentation de l'autre service AWS.

AWS Management Console

Pour activer l'accès au service approuvé

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Dans la page Services, recherchez la ligne du service que vous souhaitez activer et choisissez son nom.

3. Choisissez Activer l'accès approuvé.

4. Dans la boîte de dialogue de confirmation, cochez la case Afficher l'option pour activer l'accès approuvé, saisissez enable dans la zone, puis choisissez Activer l'accès approuvé.

5. Si vous activez l'accès, indiquez à l'administrateur de l'autre service AWS qu'il peut désormais permettre à l'autre service de fonctionner avec AWS Organizations.

Pour désactiver l'accès au service approuvé

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Dans la page Services, recherchez la ligne du service que vous souhaitez désactiver et choisissez son nom.

3. Attendez que l'administrateur de l'autre service vous indique que le service est désactivé et que les ressources ont été nettoyées.

4. Dans la boîte de dialogue de confirmation, saisissez disable dans la zone, puis choisissez Désactiver l'accès approuvé.

AWS CLI, AWS API

Pour activer ou désactiver l'accès à un service approuvé

Vous pouvez utiliser les commandes de la AWS CLI ou les opérations d'API suivantes pour activer ou désactiver l'accès aux services approuvés :

• AWS CLI : AWS organizations enable-aws-service-access

• AWS CLI : AWS organizations disable-aws-service-access

• API AWS : EnableAWSServiceAccess

• API AWS : DisableAWSServiceAccess

AWS Organizations et rôles liés à un service

AWS Organizations utilise les rôles liés à un service IAM pour permettre aux services approuvés d'effectuer des tâches en votre nom dans les comptes membres de votre organisation. Lorsque vous configurez un service approuvé et l'autorisez à s'intégrer à votre organisation, ce service peut demander à ce qu'AWS Organizations crée un rôle lié à un service dans son compte membre. Le service approuvé fait cela de façon asynchrone selon les besoins et pas nécessairement dans tous les comptes de l'organisation au même moment. Le rôle lié à un service possède des autorisations IAM prédéfinies qui permettent au service approuvé d'effectuer uniquement des tâches spécifiques au sein de ce compte. D'une manière générale, AWS gère tous les rôles liés à un service. En d'autres termes, vous ne pouvez pas modifier les rôles ou les politiques attachées.

Pour rendre cela possible, lorsque vous créez un compte dans une organisation ou lorsque vous acceptez une invitation à joindre votre compte existant à une organisation, AWS Organizations alloue au compte membre un rôle lié à un service nommé AWSServiceRoleForOrganizations. Seul le service AWS Organizations lui-même peut assumer ce rôle. Ce rôle dispose d'autorisations permettant à AWS Organizations de créer des rôles liés à un service pour d'autres services AWS. Ce rôle lié à un service est présent dans toutes les organisations.

Bien que cela ne soit pas conseillé, si seules des fonctions de facturation consolidée sont activées pour votre organisation, le rôle lié à un service nommé AWSServiceRoleForOrganizations n'est jamais utilisé et vous pouvez le supprimer. Si par la suite vous souhaitez activer toutes les fonctions dans votre organisation, le rôle sera requis et vous devrez le restaurer. Les vérifications suivantes sont effectuées lorsque vous initiez le processus d'activation de toutes les fonctions :

• Pour chaque compte membre qui a été invité à rejoindre l'organisation : l'administrateur du compte reçoit un message lui demandant son accord d'activer toutes les fonctions. Pour accepter la demande, l'administrateur doit avoir les autorisations organizations:AcceptHandshake et iam:CreateServiceLinkedRole si le rôle lié à un service (AWSServiceRoleForOrganizations) n'existe pas déjà. Si le rôle AWSServiceRoleForOrganizations existe déjà, l'administrateur a uniquement besoin de l'autorisation organizations:AcceptHandshake pour accepter la demande. Lorsque l'administrateur accepte la demande, AWS Organizations crée le rôle lié à un service, si celui-ci n'existe pas encore.

• Pour chaque compte membre qui a été créé dans l'organisation : l'administrateur du compte reçoit une demande de recréer le rôle lié à un service. (L'administrateur du compte membre ne reçoit aucune demande visant à activer toutes les fonctions dans la mesure où l'administrateur du compte de gestion (anciennement appelé « compte principal ») est considéré comme le propriétaire des comptes membres créés.) AWS Organizations crée le rôle lié à un service lorsque l'administrateur du compte membre accepte la demande. L'administrateur doit disposer des autorisations organizations:AcceptHandshake et iam:CreateServiceLinkedRole pour accepter la proposition avec succès.

Après avoir activé toutes les fonctions dans votre organisation, vous n'aurez plus la possibilité de supprimer le rôle lié au service AWSServiceRoleForOrganizations dans aucun des comptes.

Important

Les politiques SCP d'AWS Organizations n'affectent jamais les rôles liés à un service. Ces rôles sont dispensés de toute restriction SCP.