Quando usare AWS Organizations

AWS Organizations è un AWS servizio che puoi utilizzare per gestire il tuo Account AWS come gruppo. Ciò offre funzionalità come la fatturazione consolidata, in cui tutte le fatture dei tuoi account sono raggruppate e gestite da un unico pagatore. Puoi anche gestire centralmente la sicurezza della tua organizzazione utilizzando controlli basati su policy. Per ulteriori informazioni sull' AWS Organizations, vedi il AWS Organizations Guida per l'utente.

Accesso attendibile

Quando si utilizza AWS Organizations per gestire gli account come gruppo, la maggior parte delle attività amministrative dell'organizzazione può essere eseguita solo dall'account di gestione dell'organizzazione. Per impostazione predefinita, sono incluse solo le operazioni relative alla gestione dell'organizzazione stessa. È possibile estendere questa funzionalità aggiuntiva ad altre AWS servizi abilitando un accesso affidabile tra Organizations e quel servizio. L'accesso affidabile concede le autorizzazioni a quanto specificato AWS servizio per accedere alle informazioni sull'organizzazione e sugli account in essa contenuti. Quando abiliti l'accesso affidabile per Account Management, il servizio Account Management concede a Organizations e al relativo account di gestione le autorizzazioni per accedere ai metadati, come le informazioni di contatto principali o alternative, per tutti gli account dei membri dell'organizzazione.

Per ulteriori informazioni, consulta Abilita l'accesso affidabile per AWS Gestione dell'account.

Amministratore delegato

Dopo aver abilitato l'accesso affidabile, puoi anche scegliere di designare uno dei tuoi account membro come account amministratore delegato per AWS Gestione dell'account. Ciò consente all'account amministratore delegato di eseguire le stesse attività di gestione dei metadati di Account Management per gli account membro dell'organizzazione che in precedenza solo l'account di gestione poteva eseguire. L'account amministratore delegato può accedere solo alle attività di gestione del servizio di gestione degli account. L'account amministratore delegato non dispone di tutti gli accessi amministrativi all'organizzazione di cui dispone l'account di gestione.

Per ulteriori informazioni, consulta Abilita un account amministratore delegato per AWS Gestione dell'account.

Policy di controllo dei servizi

Quando il tuo Account AWS fa parte di un'organizzazione gestita da AWS Organizations, quindi l'amministratore dell'organizzazione può applicare politiche di controllo del servizio (SCPs) che possono limitare ciò che possono fare i responsabili degli account dei membri. An SCP non concede mai le autorizzazioni; è invece un filtro che limita le autorizzazioni che possono essere utilizzate dall'account membro. Un utente o un ruolo (principale) in un account membro può eseguire solo le operazioni che si trovano nell'intersezione tra ciò SCPs che è consentito dall'account e le politiche di IAM autorizzazione associate all'account principale. Ad esempio, è possibile utilizzare SCPs per impedire a qualsiasi titolare di un account di modificare i contatti alternativi del proprio account.

Ad esempio, SCPs ciò si applica a Account AWS, consulta Limita l'accesso utilizzando AWS Organizations policy di controllo dei servizi.