Tutorial: creazione e configurazione di un'organizzazione

In questo tutorial, crei la tua organizzazione e la configuri con due account AWS membri. Creando uno degli account membri nell'organizzazione, sarà possibile invitare altri account a far parte dell'organizzazione. Sarà quindi possibile utilizzare la tecnica dell'elenco consentiti per specificare che solo gli amministratori dell'account potranno delegare operazioni e servizi esplicitamente elencati. Ciò consente agli amministratori di convalidare qualsiasi nuovo servizio AWS introdotto prima di consentirne l'utilizzo da parte di chiunque altro membro dell'azienda. In questo modo, se si AWS introduce un nuovo servizio, questo rimane proibito finché un amministratore non aggiunge il servizio all'elenco consentito nella politica appropriata. Il tutorial mostra anche come utilizzare un elenco di utenti non autorizzati per garantire che nessun utente di un account membro possa modificare la configurazione dei registri di controllo creati. AWS CloudTrail

La figura seguente mostra le fasi principali del tutorial.

Fase 1: creazione dell'organizzazione

In questo passaggio, crei un'organizzazione con il tuo attuale account Account AWS di gestione. Inoltre, ne inviti una persona Account AWS a entrare a far parte della tua organizzazione e crei un secondo account come account membro.

Fase 2: creazione delle unità organizzative (UO)

Successivamente, è necessario creare due unità organizzative nella tua organizzazione e posizionare i nuovi account dei membri in quelle unità organizzative.

Fase 3: creazione delle policy di controllo dei servizi

È possibile applicare delle restrizioni per le operazioni che possono essere delegate a utenti e ruoli negli account membri utilizzando le policy di controllo dei servizi. In questa fase è necessario creare due policy di controllo dell'organizzazione e collegarle alle unità organizzative nella tua organizzazione.

Fase 4: Test delle policy dell'organizzazione

È possibile effettuare l'accesso come utente da ogni account di test e visualizzare gli effetti che le SCP hanno sugli account.

Nessuno dei passaggi di questo tutorial comporta costi di AWS bolletta. AWS Organizations è un servizio gratuito.

Prerequisiti

Questo tutorial presuppone che tu abbia accesso a due esistenti Account AWS (ne crei un terzo come parte di questo tutorial) e che tu possa accedere a ciascuno come amministratore.

Il tutorial si riferisce ad account come:

• 111111111111 - L'account utilizzato per creare l'organizzazione. Questo account diventa l'account di gestione. Il proprietario di questo account dispone di un indirizzo e-mail di OrgAccount111@example.com.

• 222222222222 - Un account invitato a far parte dell'organizzazione come account membro. Il proprietario di questo account dispone di un indirizzo e-mail di member222@example.com.

• 333333333333 - Un account creato come membro dell'organizzazione. Il proprietario di questo account dispone di un indirizzo e-mail di member333@example.com.

Sostituire i valori in alto con i valori associati agli account di test. Per questo tutorial consigliamo di non utilizzare account di produzione.

Fase 1: creazione dell'organizzazione

In questa fase si accede come amministratore per l'account 111111111111, si crea un'organizzazione che abbia quell'account come account di gestione e si invita un account esistente (222222222222) a far parte dell'organizzazione.

AWS Management Console

1. Accedi AWS come amministratore dell'account 1111 e apri la AWS Organizations console.

2. Nella pagina introduttiva scegli Create an organization (Crea un'organizzazione).

3. Nella finestra di dialogo di conferma, scegli Create organization (Crea organizzazione).

   Nota

   Per impostazione predefinita, l'organizzazione viene creata con tutte le caratteristiche abilitate. È inoltre possibile creare l'organizzazione solo con le caratteristiche di fatturazione consolidata abilitate.

   AWS crea l'organizzazione e ti mostra la Account AWSpagina. Se ti trovi su una pagina diversa, scegli Account AWS nel pannello di navigazione sinistro.

   Se l'indirizzo e-mail dell'account che utilizzi non è mai stato verificato da AWS, verrà inviata automaticamente un'e-mail di verifica all'indirizzo associato al tuo account di gestione. Potrebbe verificarsi un ritardo prima di ricevere l'e-mail di verifica.

4. Verificare l'indirizzo e-mail entro 24 ore. Per ulteriori informazioni, consulta Verifica dell'indirizzo e-mail.

Ora hai un'organizzazione che ha come unico membro il tuo account. Questo è l'account di gestione dell'organizzazione.

Invitare un account esistente a far parte dell'organizzazione

Ora che disponi di un'organizzazione puoi iniziare a popolarla con gli account. Nelle fasi descritte in questa sezione, è possibile invitare un account esistente a diventare membro dell'organizzazione.

AWS Management Console

Per invitare un account esistente a far parte della tua organizzazione

1. Vai alla pagina Account AWS e scegli Add an Account AWS(Aggiungi un Account AWS).

2. Nella pagina Aggiungi una Account AWS pagina, scegli Invita un esistente Account AWS.

3. Nella casella Email address or account ID of an Account AWS to invite (Indirizzo e-mail o ID dell' Account AWS da invitare), inserisci l'indirizzo e-mail del proprietario dell'account a cui mandare l'invito, simile al seguente: member222@example.com. In alternativa, se conosci il numero Account AWS ID, puoi inserirlo al suo posto.

4. Digita il testo desiderato nella casella Message to include in the invitation email message (Messaggio da includere nel messaggio e-mail di invito). Questo testo verrà incluso nell'e-mail inviata al proprietario dell'account.

5. Scegli Invia invito. AWS Organizations invia l'invito al proprietario dell'account.

   Importante

   Espandi il messaggio di errore, se indicato. Se l'errore indica che hai superato i limiti di account per l'organizzazione o che non è possibile aggiungere un account perché la tua organizzazione è ancora in fase di inizializzazione, attendi un'ora dalla creazione dell'organizzazione e riprova. Se l'errore persiste, contattare AWS Support.

6. Ai fini di questo tutorial, è ora necessario accettare l'invito. Eseguire una delle operazioni descritte di seguito per arrivare alla pagina Invitations (Inviti) nella console:

   • Apri l'e-mail AWS inviata dall'account di gestione e scegli il link per accettare l'invito. Quando verrà richiesto, accedere come amministratore dall'account membro invitato.

   • Apri la console AWS Organizations e vai alla pagina Invitations (Inviti).

7. Nella pagina Account AWS, scegli Accept (Accetta), quindi Confirm (Conferma).

   Suggerimento

   La ricezione dell'invito potrebbe subire ritardi e potrebbe essere necessario attendere prima di poter accettare l'invito.

8. Disconnetti l'account membro e accedi nuovamente come amministratore dall'account di gestione.

Creazione di un account membro

Nei passaggi di questa sezione, crei un utente Account AWS che diventa automaticamente membro dell'organizzazione. Nel tutorial ci si riferisce a questo account come 333333333333..

AWS Management Console

Per creare un account membro

1. Nella AWS Organizations console, nella Account AWSpagina, scegli Aggiungi Account AWS.

2. Nella pagina Add an Account AWS(Aggiungi un Account AWS), scegli Create an Account AWS(Crea un Account AWS).

3. Per Account AWS name (Nome dell'Account AWS ), inserisci un nome per l'account, ad esempio MainApp Account.

4. Per Email address of the account's root user (Indirizzo e-mail dell'utente root dell'account), inserisci l'indirizzo e-mail della persona che riceverà le comunicazioni per conto dell'account. Questo valore deve essere univoco a livello globale. I due account non possono avere lo stesso indirizzo e-mail. Ad esempio, è possibile utilizzare un indirizzo simile a mainapp@example.com.

5. Per IAM role name (Nome del ruolo IAM), è possibile scegliere un nome o lasciare vuoto questo campo per utilizzare automaticamente il nome del ruolo predefinito di OrganizationAccountAccessRole. Questo ruolo consente di accedere al nuovo account membro quando si accede come utente IAM dall'account di gestione. Per questo tutorial, lasciare vuoto il campo per indicare ad AWS Organizations di creare il ruolo con il nome predefinito.

6. Scegli Create (Crea) Account AWS. Per visualizzare il nuovo account nella pagina Account AWS è necessario attendere e aggiornare la pagina.

   Importante

   Se ricevi un messaggio di errore che indica che hai superato il limite del numero di account per l'organizzazione o che non è possibile aggiungere un account perché la tua organizzazione è ancora in corso di inizializzazione, attendi un'ora dalla creazione dell'organizzazione e riprova. Se l'errore persiste, contattare AWS Support.

Fase 2: creazione delle unità organizzative (UO)

Nelle fasi di questa sezione, crei delle unità organizzative e vi posizioni gli account membri. Al termine, la gerarchia si presenterà come illustrato di seguito. L'account di gestione rimane nel root. Un account membro viene spostato nell'unità organizzativa di produzione e l'altro account membro viene spostato nell' MainApp unità organizzativa, che è figlia di Production.

AWS Management Console

Per creare e popolare le unità organizzative

Nota

Nei passaggi seguenti, interagisci con gli oggetti per i quali è possibile scegliere il nome dell'oggetto stesso o il pulsante di opzione accanto all'oggetto.

• Se scegli il nome dell'oggetto, si apre una nuova pagina in cui vengono visualizzati i dettagli dell'oggetto.

• Se scegli il pulsante di opzione accanto all'oggetto, stai identificando l'oggetto su cui deve essere eseguita un'altra operazione, ad esempio la scelta di un'opzione di menu.

I passaggi che seguono prevedono che tu scelga il pulsante di opzione in modo da poter agire sull'oggetto associato attraverso scelte di menu.

1. Nella console AWS Organizations, vai alla pagina Account AWS.

2. Seleziona la casella di controllo accanto al container Root.

3. Scegli il menu a discesa Azioni, quindi in Unità organizzativa, scegli Crea nuovo.

4. Nella pagina Create organizational unit in Root (Crea unità organizzativa in root), per Organizational unit name (Nome unità organizzativa) inserisci Production e quindi scegli Create organizational unit (Crea unità organizzativa).

5. Seleziona la casella di controllo accanto alla nuova UO Production.

6. Scegli Actions (Operazioni) e quindi in Organizational unit (Unità organizzativa) scegli Create new (Crea nuova).

7. Nella pagina Create organizational unit in Production (Crea unità organizzativa in produzione), per il nome della seconda UO inserisci MainApp e quindi scegli Create organizational unit (Crea unità organizzativa).

   Ora puoi trasferire gli account membri in queste UO.

8. Torna alla pagina Account AWS ed espandi la struttura sotto l'UO Production (Produzione) scegliendo il triangolo accanto ad essa. In questo modo l'MainAppunità organizzativa viene visualizzata come figlia di Production.

9. Vicino a 333333333333, seleziona la casella di controllo (non il nome), scegli Operazioni) e quindi sotto a Account AWS scegli Sposta.

10. Nella pagina Sposta Account AWS '3333', scegli il triangolo accanto a Production per espanderlo. Quindi MainApp, scegli il pulsante di opzione (non il suo nome), quindi scegli Sposta. Account AWS

11. Vicino a 222222222222, seleziona la casella di controllo (non il nome), scegli Operazioni) e quindi sotto a Account AWS scegli Sposta.

12. Nella pagina Move Account AWS '222222222222', accanto a Production, scegli il pulsante di opzione (non il nome), quindi scegli Sposta. Account AWS

Fase 3: creazione delle policy di controllo dei servizi

Nelle fasi descritte in questa sezione, verranno create tre policy di controllo dei servizi (SCP) e collegate alla root e alle UO, al fine di limitare le operazioni che ciascun utente può eseguire negli account dell'organizzazione. Il primo SCP impedisce a chiunque faccia parte degli account membri di creare o modificare i AWS CloudTrail registri configurati. L'account di gestione non è interessato da alcun SCP, quindi dopo aver applicato l' CloudTrail SCP, è necessario creare eventuali registri dall'account di gestione.

Abilitare il tipo di policy di controllo dei servizi per l'organizzazione

Prima di poter collegare una policy di qualsiasi tipo a un root o a una o più UO all'interno di un root, è necessario abilitare il tipo di policy per l'organizzazione. I tipi di policy non sono abilitati per impostazione predefinita. Le fasi descritte in questa sezione mostrano come abilitare il tipo di policy di controllo dei servizi (SCP) per l'organizzazione.

AWS Management Console

Per abilitare le policy di controllo dei servizi per l'organizzazione

1. Vai alla pagina Policy, quindi scegli Policy di controllo dei servizi.

2. Nella pagina Service Control Policies (Policy di controllo dei servizi), scegli Enable service control policies (Abilita le policy di controllo dei servizi).

   Viene visualizzato un banner verde per informarti che ora puoi creare SCP nella tua organizzazione.

Crea le SCP

Ora che le policy di controllo dei servizi sono abilitate nell'organizzazione, puoi creare le tre policy che ti occorrono per questo tutorial.

AWS Management Console

Per creare il primo SCP che blocchi le azioni di configurazione CloudTrail

1. Vai alla pagina Policy, quindi scegli Policy di controllo dei servizi.

2. Nella pagina Service control policies (Policy di controllo dei servizi), scegli Create policy (Crea policy).

3. In Policy name (Nome policy), inserisci Block CloudTrail Configuration Actions.

4. Nella sezione Politica, nell'elenco dei servizi sulla destra, seleziona CloudTrail il servizio. Quindi scegli le seguenti azioni: AddTagsCreateTrail, DeleteTrail, RemoveTags, StartLogging, StopLogging, e UpdateTrail.

5. Sempre nel riquadro di destra, scegli Aggiungi risorsa e specifica CloudTraile Tutte le risorse. Scegliere Add resource (Aggiungi risorsa).

   L'istruzione di policy sulla sinistra diventa simile alla seguente.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "Stmt1234567890123",
               "Effect": "Deny",
               "Action": [
                   "cloudtrail:AddTags",
                   "cloudtrail:CreateTrail",
                   "cloudtrail:DeleteTrail",
                   "cloudtrail:RemoveTags",
                   "cloudtrail:StartLogging",
                   "cloudtrail:StopLogging",
                   "cloudtrail:UpdateTrail"
               ],
               "Resource": [
                   "*"
               ]
           }
       ]
   }

6. Scegli Crea policy.

La seconda policy definisce un elenco consentiti di tutti i servizi e le operazioni che si desiderano abilitare per utenti e ruoli nella UO Production. Al termine, gli utenti nella UO Production potranno accedere solo ai servizi e alle operazioni elencati.

AWS Management Console

Per creare la seconda policy che consente agli utenti di utilizzare i servizi approvati per la UO Production

1. Nella pagina Service control policies (Policy di controllo dei servizi), scegli Create policy (Crea policy).

2. In Policy name (Nome policy), inserisci Allow List for All Approved Services.

3. Posizionare il cursore nel riquadro destro della sezione Policy e incollare una policy simile alla seguente.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "Stmt1111111111111",
               "Effect": "Allow",
               "Action": [ 
                   "ec2:*",
                   "elasticloadbalancing:*",
                   "codecommit:*",
                   "cloudtrail:*",
                   "codedeploy:*"
                 ],
               "Resource": [ "*" ]
           }
       ]
   }

4. Scegli Crea policy.

La policy finale fornisce un elenco di servizi di cui è bloccato l'uso nell' MainApp unità organizzativa. In questo tutorial, blocchi l'accesso ad Amazon DynamoDB in tutti gli account presenti nell'unità organizzativa. MainApp

AWS Management Console

Per creare la terza politica che neghi l'accesso ai servizi che non possono essere utilizzati nell'unità organizzativa MainApp

1. Nella pagina Service control policies (Policy di controllo dei servizi), scegli Create policy (Crea policy).

2. In Policy name (Nome policy), inserisci Deny List for MainApp Prohibited Services.

3. Nella sezione Policy a sinistra, seleziona Amazon DynamoDB come servizio. Per l'operazione, scegliere All actions (Tutte le operazioni).

4. Sempre nel riquadro di sinistra, scegli Add resource (Aggiungi risorsa) e specifica DynamoDB e All Resources (Tutte le risorse). Scegliere Add resource (Aggiungi risorsa).

   L'istruzione di policy sulla destra si aggiorna e diventa simile alla seguente.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Deny",
         "Action": [ "dynamodb:*" ],
         "Resource": [ "*" ]
       }
     ]
   }

5. Scegliere Create policy (Crea policy) per salvare la SCP.

Collegare le SCP alle UO

Ora che le SCP esistono e sono abilitate per la root, è possibile collegarle alla root e alle UO.

AWS Management Console

Per collegare le policy alla root e alle UO

1. Accedi alla pagina Account AWS.

2. Nella pagina Account AWS, scegli Root (il nome, non il pulsante di opzione) per andare alla relativa pagina dei dettagli.

3. Nella pagina dei dettagli del Root, scegli la scheda Policies (Policy) e quindi in Service Control Policies (Policy di controllo dei servizi) scegli Attach (Collega).

4. Nella pagina Attach a service control policy (Collega una policy di controllo dei servizi), scegli il pulsante di opzione accanto alla SCP denominata Block CloudTrail Configuration Actions e quindi Attach (Collega). In questo tutorial, la si collega alla radice in modo che influisca su tutti gli account dei membri per evitare che qualcuno alteri il modo in cui è stato configurato. CloudTrail

   Nella pagina dei dettagli Root, la scheda Policies (Policy) mostra ora due SCP collegate al root: quella appena creata e la SCP FullAWSAccess predefinita.

5. Torna a Account AWS e seleziona la casella di controllo dell'UO Production (Produzione) (il nome, non il pulsante di opzione) per passare alla rispettiva pagina dei dettagli.

6. Nella pagina dei dettagli dell'UO Production, scegli la scheda Policies (Policy).

7. Sotto Service Control Policies (Policy di controllo dei servizi), scegli Attach (Collega).

8. Nella pagina Attach a service control policy (Collega una policy di controllo dei servizi), scegli il pulsante di opzione accanto a Allow List for All Approved Services e quindi Attach (Collega). In questo modo, gli utenti o i ruoli negli account membri nell'UO Production possono accedere ai servizi approvati.

9. Seleziona di nuovo la scheda Policies per verificare che due SCP siano collegate all'UO: quella appena creata e la SCP FullAWSAccess predefinita. Tuttavia, poiché l'SCP FullAWSAccess è anche un elenco consentiti che consente l'accesso a tutti i servizi e le operazioni, ora è necessario scollegare questa SCP per far sì che vengano consentiti solo i servizi approvati.

10. Per rimuovere il criterio predefinito dall'unità organizzativa di produzione, scegli Completo con il pulsante di opzione Completo AWSAccess, quindi nella finestra di dialogo di conferma scegli Scollega criterio.

    Dopo avere rimosso questa policy predefinita, tutti gli account membri nell'UO Production perderanno immediatamente la possibilità di accedere a tutte le operazioni e ai servizi che non si trovano nell'SCP dell'elenco consentiti collegata nella fase precedente. Qualsiasi richiesta di utilizzo di operazioni non incluse nell'SCP Allow List for All Approved Services (Elenco consentiti per tutti i servizi approvati) viene negata. Ciò vale anche se un amministratore in un account concede l'accesso a un altro servizio collegando una policy di autorizzazione IAM a un utente in uno degli account membri.

11. Ora puoi allegare il nome SCP Deny List for MainApp Prohibited services per impedire a chiunque negli account dell' MainApp unità organizzativa di utilizzare uno qualsiasi dei servizi con restrizioni.

    A tale scopo, accedi alla Account AWSpagina, scegli l'icona a forma di triangolo per espandere il ramo dell'unità di produzione, quindi scegli l'MainAppunità organizzativa (è il nome, non il pulsante di opzione) per accedere al suo contenuto.

12. Nella pagina dei MainAppdettagli, scegli la scheda Politiche.

13. In Criteri di controllo del servizio, scegli Allega, quindi nell'elenco dei criteri disponibili, scegli il pulsante di opzione accanto a Deny List for MainApp Prohibited Services, quindi scegli Allega policy.

Fase 4: Test delle policy dell'organizzazione

Adesso puoi accedere come utente in qualsiasi account membro e provare a eseguire diverse operazioni AWS :

• Se si accede come utente nell'account di gestione, è possibile eseguire qualsiasi operazione consentita dalle policy di autorizzazione IAM. Le SCP non hanno alcun effetto su utenti o ruoli nell'account di gestione, indipendentemente dal root o dall'UO in cui si trova l'account.

• Se accedi come utente nell'account 222222222222, puoi eseguire tutte le azioni consentite dall'elenco degli utenti consentiti. AWS Organizations nega qualsiasi tentativo di eseguire un'azione in qualsiasi servizio che non è nell'elenco consentito. Inoltre, AWS Organizations nega qualsiasi tentativo di eseguire una delle CloudTrail azioni di configurazione.

• Se si accede come utente nell'account 333333333333, è possibile eseguire tutte le operazioni consentite dall'elenco consentiti e non bloccate dall'elenco non consentiti. AWS Organizations rifiuta qualsiasi tentativo di eseguire un'operazione che non è nella policy dell'elenco consentiti e qualsiasi operazione che si trova nella policy dell'elenco non consentiti. Inoltre, AWS Organizations nega qualsiasi tentativo di eseguire una delle CloudTrail azioni di configurazione.