Gestion des unités d'organisation (UO) - AWS Organizations
Navigation dans l'arborescenceCréation d'une unité d'organisationModification du nom d'une unité d'organisationAttribution de balises à une unité d'organisationDéplacement d'une unité d'organisationSuppression d'une unité d'organisation

Gestion des unités d'organisation (UO)

Vous pouvez utiliser des unités d'organisation (UO) pour regrouper des comptes afin de les administrer en tant qu'unité unique. Cela permet de simplifier considérablement la gestion de vos comptes. Par exemple, vous pouvez attacher un contrôle basé sur une stratégie à une unité d'organisation. Tous les comptes au sein de cette unité d'organisation hériteront ainsi automatiquement de la stratégie. Vous pouvez créer plusieurs unités d'organisation au sein d'une seule organisation. Vous pouvez également créer des unités d'organisation au sein d'autres unités d'organisation. Chaque unité d'organisation peut contenir plusieurs comptes et vous pouvez déplacer des comptes d'une unité à une autre. Toutefois, les noms des unités d’organisation doivent être uniques au sein d'une unité opérationnelle parent ou racine.

Note

Il y a une racine dans l'organisation, que AWS Organizations crée pour vous lorsque vous configurez votre organisation pour la première fois.

Pour structurer les comptes dans votre organisation, vous pouvez effectuer les tâches suivantes :

Pour accéder à différentes unités d'organisation ou à la racine lors du déplacement de comptes ou de l'attachement de stratégies, vous pouvez utiliser la vue « arborescence » affichée par défaut.

AWS Management Console
Pour naviguer dans l'organisation sous la forme d'une arborescence

  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Sur la page Comptes AWS, en haut de la section Organization (Organisation), sélectionnez le bouton bascule Hierarchy (Hiérarchie) (à la place de List (Liste)).

  3. Initialement, l'arborescence présente la racine et n'affiche que le premier niveau des unités d'organisation enfants affichées. Pour développer l'arborescence et afficher des niveaux inférieurs, choisissez l'icône Développer ( ) en regard de n'importe quelle entité parente. Pour réduire l'encombrement et réduire une branche de l'arborescence, choisissez l'icône Réduire ( ) à côté d'une entité parente développée.

  4. Choisissez le nom d'une unité d'organisation ou d'une racine pour en afficher les détails et effectuer certaines opérations. Sinon, vous pouvez choisir la case d'option en regard du nom et effectuer certaines opérations sur cette entité dans le menu Actions.

Vous pouvez également afficher la liste des seuls comptes de votre organisation sous forme de tableau, sans avoir à accéder d'abord à une unité d'organisation pour les trouver. Dans cette vue, vous ne pouvez voir aucune des unités d'organisation ni manipuler les politiques qui leur sont attachées.

AWS Management Console
Pour afficher l'organisation sous la forme d'une liste non hiérarchique des comptes

  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Dans la page Comptes AWS, en haut de la section Organisation, choisissez l'icône de basculement Afficher uniquement les Comptes AWS pour l'activer. .

  3. La liste des comptes s'affiche sans hiérarchie.

Création d'une unité d'organisation

Lorsque que vous êtes connecté au compte de gestion de votre organisation, vous pouvez créer une unité d'organisation dans la racine de l'organisation. Les unités d'organisation peut être imbriquées jusqu'à une profondeur de cinq niveaux. Pour créer une unité d'organisation, procédez comme suit :

Important

Si cette organisation est gérée avec AWS Control Tower, créez vos unités d'organisation avec la console AWS Control Tower ou des API. Si vous créez l'unité d'organisation dans Organizations, cette unité n'est pas enregistrée auprès de AWS Control Tower. Pour de plus amples informations, consultez Référence à des ressources en dehors de AWS Control Tower dans le Guide de l'utilisateur de AWS Control Tower.

Autorisations minimales

Pour créer une unité d'organisation au sein d'une racine de votre organisation, vous devez disposer des autorisations suivantes :

  • organizations:DescribeOrganization — requis uniquement si vous utilisez la console Organizations

  • organizations:CreateOrganizationalUnit

AWS Management Console
Pour créer une unité d'organisation

  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Accédez à la page Comptes AWS.

    La console affiche l'unité d'organisation racine et son contenu. La première fois que vous accédez à la racine, la console affiche l'ensemble de vos Comptes AWS dans cette vue de niveau supérieur. Si vous avez créé précédemment des unités d'organisation et que vous avez déplacé des comptes vers celles-ci, la console affiche uniquement les unités d'organisation de niveau supérieur et les comptes que vous n'avez pas encore déplacés vers une unité d'organisation.

  3. (Facultatif) Si vous voulez créer une unité d'organisation à l'intérieur d'une unité d'organisation existante, accédez à l'unité d'organisation enfant en choisissant le nom (pas la case à cocher) de l'unité d'organisation enfant ou en choisissant l'icône en regard de l'unité d'organisation dans l'arborescence jusqu'à voir celle que vous voulez, pis en choisissant son nom.

  4. Lorsque vous avez sélectionné l'unité d'organisation parente correcte dans la hiérarchie, dans le menu Actions, sous Unité d'organisation, choisissez Créer

  5. Dans la boîte de dialogue Créer une unité d'organisation, tapez le nom de l'unité d'organisation que vous voulez créer.

  6. (Facultatif) Ajoutez une ou plusieurs balises en choisissant Ajouter une balise, puis entrez une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur null. Vous pouvez attacher jusqu'à 50 balises à une UO.

  7. Enfin, choisissez Créer une unité d'organisation.

Votre nouvelle unité d'organisation apparaît à l'intérieur de l'unité parente. Vous pouvez maintenant déplacer des comptes vers cette unité d'organisation ou lui attacher des stratégies.

AWS CLI & AWS SDKs
Pour créer une unité d'organisation

Vous pouvez utiliser l'une des commandes suivantes pour créer une unité d'organisation :

  • AWS CLI : create-organizational-unit

    Pour créer une unité d'organisation, vous devez d'abord trouver l'identité de la racine ou de l'unité d'organisation que vous souhaitez définir comme unité parente de la nouvelle unité.

    Pour trouver l'identité de la racine, utilisez la commande list-roots. Pour trouver l'identité d'une unité d'organisation, utilisez la commande liste-children pour accéder à l'unité d'organisation souhaitée.

    L'exemple suivant montre comment trouver l'identité de la racine, puis trouver l'identité d'une unité d'organisation sous la racine. La dernière commande indique comment créer une unité d'organisation dans celle que vous avez trouvée.

    $ aws organizations list-roots
{
    "Roots": [
        {
            "Id": "r-a1b2",
            "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
            "Name": "Root",
            "PolicyTypes": []
        }
    ]
}
$ aws organizations list-children \
    --parent-id r-a1b2 \
    --child-type ORGANIZATIONAL_UNIT
{
    "Children": [
        {
            "Id": "ou-a1b2-f6g7h111",
            "Type": "ORGANIZATIONAL_UNIT"
        }
    ]
}
$ aws organizations create-organizational-unit \
    --parent-id ou-a1b2-f6g7h111 \
    --name New-Child-OU
{
    "OrganizationalUnit": {
        "Id": "ou-a1b2-f6g7h222",
        "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
        "Name": "New-Child-OU"
    }
}

  • SDK AWS : CreateOrganizationalUnit

Modification du nom d'une unité d'organisation

Lorsque vous êtes connecté au compte de gestion de votre organisation, vous pouvez renommer une unité d'organisation. Pour ce faire, exécutez les étapes suivantes.

Autorisations minimales

Pour renommer une unité d'organisation au sein d'une racine dans votre organisation AWS, vous devez disposer des autorisations suivantes :

  • organizations:DescribeOrganization — requis uniquement si vous utilisez la console Organizations

  • organizations:UpdateOrganizationalUnit

AWS Management Console
Pour renommer une unité d'organisation

  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Sur la page Comptes AWS, accédez à l'unité d'organisation (UO) que vous souhaitez renommer, puis effectuez l'une des étapes suivantes :

    • Cochez la case d'option en regard de l'unité d'organisation à renommer. Ensuite, dans le menu Actions, sous Unité d'organisation, choisissez Renommer.

    • Choisissez le nom de l'unité d'organisation pour accéder à sa page de détails. En haut de la page, choisissez Renommer.

  3. Dans la boîte de dialogue Renommer l'unité d'organisation, entrez un nouveau nom, puis choisissez Enregistrer les modifications.

AWS CLI & AWS SDKs
Pour renommer une unité d'organisation

Vous pouvez utiliser l'une des commandes suivantes pour renommer une unité d'organisation :

  • AWS CLI : update-organizational-unit

    L'exemple suivant montre comment renommer une unité d'organisation.

    $ aws organizations update-organizational-unit \
    --organizational-unit-id ou-a1b2-f6g7h222 \
    --name "Renamed-OU"
{
    "OrganizationalUnit": {
        "Id": "ou-a1b2-f6g7h222",
        "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
        "Name": "Renamed-OU"
    }
}

  • SDK AWS : UpdateOrganizationalUnit

Modification de balises attachées à une UO

Lorsque vous vous connectez au compte de gestion de votre organisation, vous pouvez ajouter ou supprimer les étiquettes attachées à une UO. Pour ce faire, exécutez les étapes suivantes.

Autorisations minimales

Pour modifier les balises attachées à une unité d'organisation au sein d'une racine dans votre organisation AWS, vous devez disposer des autorisations suivantes :

  • organizations:DescribeOrganization — requis uniquement si vous utilisez la console Organizations

  • organizations:DescribeOrganizationalUnit — requis uniquement si vous utilisez la console Organizations

  • organizations:TagResource

  • organizations:UntagResource

AWS Management Console
Pour modifier les balises attachées à une unité d'organisation

  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Sur la page Comptes AWS, accédez au nom de l'UO dont vous souhaitez modifier les étiquettes et choisissez ce nom.

  3. Sur la page de détails de l'UO, choisissez l'onglet Tags (Étiquettes), puis Manage tags (Gérer les étiquettes).

  4. Vous pouvez effectuer l'une des actions suivantes dans cet onglet :

    • Modifiez la valeur d'une balise en entrant une nouvelle valeur en remplacement de l'ancienne. Vous ne pouvez pas modifier la clé de la balise. Pour changer une clé, vous devez supprimer la balise avec l'ancienne clé et ajouter une balise avec la nouvelle clé.

    • Supprimez une balise existante en choisissant Supprimer en regard de la balise à supprimer.

    • Ajoutez une nouvelle paire clé/valeur de balise. Choisissez Ajouter une balise, puis entrez le nouveau nom de la clé et éventuellement une valeur dans les champs prévus. Si vous laissez vide le champ Valeur, la valeur est une chaîne vide ; elle ne prend pas la valeur null.

  5. Choisissez Enregistrer les modifications une fois que vous avez effectué tous les ajouts, suppressions et modifications que vous souhaitez.

AWS CLI & AWS SDKs
Pour modifier les balises attachées à une unité d'organisation

Vous pouvez utiliser l'une des commandes suivantes pour modifier les balises attachées à une unité d'organisation :

  • AWS CLI : tag-resource et untag-resource

    L'exemple suivant attache la balise "Department"="12345" à une unité d'organisation. Notez que les champs Key et Value sont sensibles à la casse.

    $ aws organizations tag-resource \
    --resource-id ou-a1b2-f6g7h222 \
    --tags Key=Department,Value=12345

    Cette commande ne produit aucune sortie lorsqu'elle réussit.

    L'exemple suivant supprime la balise Department d'une unité d'organisation.

    $ aws organizations untag-resource \
    --resource-id ou-a1b2-f6g7h222 \
    --tag-keys Department

    Cette commande ne produit aucune sortie lorsqu'elle réussit.

  • SDK AWS : TagResource et UntagResource

Déplacement de comptes vers une unité d'organisation ou entre la racine et des unités d'organisation

Lorsque vous êtes connecté au compte de gestion de votre organisation, vous pouvez déplacer des comptes de votre organisation depuis la racine vers une unité d'organisation, entre des unités d'organisation et vers la racine depuis une unité d'organisation. Lorsque vous placez un compte dans une unité d'organisation, ce compte est soumis à toutes les politiques attachées à l'unité parente et aux autres unités situées dans la chaîne d'unités parentes jusqu'à la racine. Si un compte n'est pas placé dans une unité d'organisation, il n'est soumis qu'aux politiques attachées directement à la racine et à celles attachées directement au compte. Pour déplacer des comptes, effectuez les opérations suivantes.

Autorisations minimales

Pour déplacer des comptes vers un nouvel emplacement dans la hiérarchie des unités d'organisation, vous devez disposer des autorisations suivantes :

  • organizations:DescribeOrganization — requis uniquement si vous utilisez la console Organizations

  • organizations:MoveAccount

AWS Management Console
Pour déplacer des comptes vers une unité d'organisation

  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Dans la page Comptes AWS, trouvez le ou les comptes à déplacer. Vous pouvez naviguer dans la hiérarchie des UO ou activer Afficher uniquement les Comptes AWSpour afficher une liste non hiérarchique des comptes sans la structure des unités d'organisation. Si vous disposez de nombreux comptes, vous devrez peut-être choisir Charger plus de comptes dans « nom-UO » au bas de la liste pour trouver tous ceux que vous souhaitez déplacer.

  3. Cochez en regard du nom de chaque compte à déplacer.

  4. Dans le menu Actions, sous Compte AWS, choisissez Déplacer.

  5. Dans la boîte de dialogue Déplacer des Compte AWS, trouvez et choisissez l'unité d'organisation ou la racine vers laquelle vous voulez déplacer le compte, puis choisissez Déplacer le Compte AWS.

AWS CLI & AWS SDKs
Pour déplacer un compte vers une unité d'organisation

Vous pouvez utiliser l'une des commandes suivantes pour déplacer un compte :

  • AWS CLI : move-account

    L'exemple suivant déplace un Compte AWS de la racine vers une unité d'organisation. Notez que vous devez spécifier les ID des conteneurs source et de destination.

    $ aws organizations move-account \
    --account-id 111122223333 \
    --source-parent-id r-a1b2 \
    --destination-parent-id ou-a1b2-f6g7h111

    Cette commande ne produit aucune sortie lorsqu'elle réussit.

  • SDK AWS : MoveAccount

Suppression d'unités d'organisation

Lorsque vous êtes connecté au compte de gestion de votre organisation, vous pouvez supprimer les unités d'organisation dont vous n'avez plus besoin.

Vous devez d'abord sortir tous les comptes de l'unité d'organisation et des unités d'organisation enfants, après quoi vous pouvez supprimer les unités enfants.

Autorisations minimales

Pour supprimer une unité d'organisation, vous devez disposer des autorisations suivantes :

  • organizations:DescribeOrganization — requis uniquement si vous utilisez la console Organizations

  • organizations:DeleteOrganizationalUnit

AWS Management Console
Pour supprimer une unité d'organisation

  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Dans la page Comptes AWS, trouvez les unités d'organisation à supprimer et cochez en regard du nom de chaque unité.

  3. Choisissez Actions, puis, sous Unité d'organisation, choisissez Supprimer.

  4. Pour confirmer que vous souhaitez supprimer les unités d'organisation, entrez le nom de l'unité d'organisation (si vous avez choisi d'en supprimer une seule) ou le mot « supprimer » (si vous en avez choisi plusieurs), puis choisissez Supprimer.

    AWS Organizations supprime les unités d'organisation et les retire de la liste.

AWS CLI & AWS SDKs
Pour supprimer une unité d'organisation

Vous pouvez utiliser l'une des commandes suivantes pour supprimer une unité d'organisation :

  • AWS CLI : delete-organizational-unit

    L'exemple suivant montre comment supprimer une unité d'organisation.

    $ aws organizations delete-organizational-unit \
    --organizational-unit-id ou-a1b2-f6g7h222

    Cette commande ne produit aucune sortie lorsqu'elle réussit.

  • SDK AWS : DeleteOrganizationalUnit