Terminologia e conceitos do AWS Organizations

Para ajudá-lo a começar a usar o AWS Organizations, este tópico explica alguns dos conceitos-chave.

O diagrama a seguir mostra uma organização básica que consiste em cinco contas que estão organizadas em quatro unidades organizacionais (UOs) na raiz. A organização também tem várias políticas que são anexadas a algumas das UOs ou diretamente a contas. Para obter uma descrição de cada um desses itens, consulte as definições neste tópico.

Organização

Uma entidade que você cria para consolidar suas contas da AWS para poder administrá-las como uma só unidade. Você pode usar o AWS Organizations console para visualizar e gerenciar centralmente todas as suas contas dentro da sua organização. Uma organização tem uma conta de gerenciamento primária com zero ou mais contas-membro. É possível organizar as contas em uma estrutura em árvore hierárquica, com uma raiz na parte superior e unidades organizacionais aninhadas na raiz. Cada conta pode estar diretamente na raiz ou ser colocada em uma das UOs na hierarquia. Uma organização tem a funcionalidade que é determinada pelo conjunto de recursos que você ativar.

Raiz

O contêiner pai de todas as contas da sua organização. Se você aplicar uma política à raiz, ela será aplicada a todas as unidades organizacionais (UOs) e contas na organização.

nota

No momento, você pode ter apenas uma raiz. O AWS Organizations cria a raiz automaticamente para você quando uma organização é criada.

Unidade organizacional (UO)

Um contêiner para contas em uma raiz. Uma UO também pode conter outras UOs, permitindo que você crie uma hierarquia parecida com uma árvore de cabeça para baixo, com a raiz na parte superior e ramificações de UOs que se propagam para níveis inferiores, terminando em contas que são as folhas da árvore. Quando você anexa uma política a um dos nós na hierarquia, ele é propagado e afeta todas as ramificações (UOs) e folhas (contas) nos níveis inferiores. Uma UO pode ter exatamente um pai, e, atualmente, cada conta pode ser um membro de exatamente uma UO.

Conta

Uma conta em Organizations é uma Conta da AWS padrão que contém os seus recursos da AWS e as identidades que podem acessar esses recursos.

dica

Uma conta da AWS não é o mesmo que uma conta de usuário. Um usuário AWS é uma identidade que você cria usando o AWS Identity and Access Management (IAM) que toma a forma de um usuário do IAM com credenciais de longo prazo ou uma função do IAM com credenciais de curto prazo. Uma única conta AWS pode conter, e normalmente contém, muitos usuários e funções.

Há dois tipos de contas em uma organização: uma única conta designada como conta de gerenciamento e uma ou mais contas-membro.

A conta de gerenciamento é a conta que você usa para criar a organização. Na conta de gerenciamento da organização, é possível fazer o seguinte:
- Criar contas na organização
- Convidar outras contas existentes para a organização
- Remover contas da organização
- Designar contas de administrador delegado
- Gerenciar convites
- Aplicar políticas a entidades (raízes, UOs ou contas) dentro da organização
- Habilitar a integração com os serviços compatíveis da AWS para fornecer a funcionalidade do serviço em todas as contas da organização.
A conta de gerenciamento tem as responsabilidades de uma conta pagadora e é responsável pelo pagamento de todos as cobranças que são acumuladas pelas contas-membro. Não é possível alterar a conta de gerenciamento de uma organização.
As contas-membro compõem todo o resto das contas em uma organização. Uma conta da só pode ser membro de uma organização de cada vez. Você pode anexar uma política a uma conta para aplicar controles a apenas uma única conta.

nota
Você pode designar algumas contas-membro para serem contas de administrador delegado. Consulte Administrador delegado abaixo.

Administrador delegado

Recomendamos usar a conta de gerenciamento do Organizations e seus usuários e perfis somente para as tarefas que só podem ser executadas por essa conta. Além disso, recomendamos armazenar todos os seus recursos da AWS em outras contas-membro na organização e mantê-las fora da conta de gerenciamento. Isso porque os recursos de segurança, como as políticas de controle de serviços (SCPs) do Organizations, não restringem usuários ou perfis na conta de gerenciamento. Separar seus recursos da sua conta de gerenciamento também pode ajudar a entender os lançamentos em suas faturas. Na conta de gerenciamento da organização, é possível designar uma ou mais contas-membro como uma conta de administrador delegado para obter ajuda para implementar essa recomendação. Há dois tipos de administradores delegados:

Administrador delegado do Organizations: essas contas permitem gerenciar as políticas da organização e anexar políticas às entidades (raízes, OUs ou contas) dentro da organização. A conta de gerenciamento pode controlar as permissões de delegação em níveis granulares. Consulte Administrador delegado do AWS Organizations para obter mais informações.
Administrador delegado de um serviço da AWS: essas contas permitem gerenciar serviços da AWS que se integram às organizações. A conta de gerenciamento pode registrar diferentes contas-membro como administradores delegados para diferentes serviços, conforme necessário. Essas contas têm permissões administrativas para um serviço específico, bem como permissões para ações somente leitura do Organizations. Consulte Administrador delegado para serviços da AWS que funcionam com o Organizations para obter mais informações.

Convite

O processo para pedir que outra conta se inscreva na sua organização. Um convite só pode ser emitido pela conta de gerenciamento da organização. O convite é estendido para o ID da conta ou para o endereço de e-mail associado à conta convidada. Após a conta convidada aceitar um convite, ela se torna uma conta-membro na organização. Os convites também podem ser enviados a todas as contas-membro atuais quando a organização precisa que todos os membros aprovem a alteração de oferecer suporte apenas a recursos de faturamento consolidado para oferecer suporte a todos os recursos na organização. Os convites funcionam com a troca de handshakes das contas. Talvez você não veja handshakes quando trabalha no console do AWS Organizations. Mas se você usar a AWS CLI ou a API do AWS Organizations, deverá trabalhar diretamente com handshakes.

Handshake

Um processo de várias etapas de troca de informações entre duas partes. Um de seus usos principais no AWS Organizations é servir como a implementação subjacente de convites. As mensagens de handshake são transmitidas entre o iniciador de handshake e o destinatário e respondidas por eles. As mensagens são transmitidas de uma forma que ajuda ambas as partes a saber sempre qual é o status atual. Handshakes também são usados ao alterar a organização de oferecer suporte apenas a recursos de faturamento consolidado para oferecer suporte a todos os recursos disponibilizados pelo AWS Organizations. Você geralmente precisará interagir diretamente com handshakes somente se trabalhar com a API do AWS Organizations ou ferramentas da linha de comando, como a AWS CLI.

Conjuntos de recursos disponíveis

Todos os recursos – O conjunto de recursos padrão que está disponível para o AWS Organizations. Inclui toda a funcionalidade do faturamento consolidado, além de recursos avançados que oferecem maior controle sobre as contas em sua organização. Por exemplo, quando todos os recursos estão habilitados, a conta de gerenciamento da organização tem controle total sobre o que as contas-membro podem fazer. A conta de gerenciamento pode aplicar SCPs para restringir os serviços e as ações que os usuários (incluindo o usuário-raiz) e as funções em uma conta podem acessar. A conta de gerenciamento também pode impedir que as contas-membro saiam da organização. É possível habilitar a integração com serviços compatíveis da AWS para permitir que esses serviços forneçam funcionalidades para todas as contas da organização.

Você pode criar uma organização com todos os recursos já habilitados, ou pode ativar todos os recursos em uma organização que originalmente oferecia suporte apenas aos recursos de faturamento consolidado. Para habilitar todos os recursos, todas as contas-membro convidadas devem aprovar a alteração aceitando o convite enviado quando a conta de gerenciamento inicia o processo.
Faturamento consolidado: esse conjunto de recursos fornece a funcionalidade de cobrança compartilhada, mas não inclui os recursos mais avançados do AWS Organizations. Por exemplo, não é possível habilitar outros serviços da AWS para integração com sua organização e fazê-lo funcionar em todas as suas contas, ou usar políticas para restringir o que usuários e perfis em contas diferentes podem fazer. Para usar os recursos avançados do AWS Organizations, habilite todos os recursos em sua organização.

Política de controle de serviço (SCP - service control policy)

Uma política que especifica os serviços e as ações que os usuários e as funções podem usar nas contas que o SCP afeta. As SCPs são semelhantes às políticas de permissão do IAM, exceto por não concederem permissões. Em vez disso, as SCPs especificam o máximo de permissões para uma organização, unidade organizacional (UO) ou conta. Quando você anexa uma SCP à sua organização raiz ou a uma UO, a SCP limita as permissões a entidades em contas-membro.

Listas de permissões versus listas de negações

Listas de permissões e listas de negações são estratégias complementares que você pode usar para aplicar SCPs para filtrar as permissões disponíveis para as contas.

Estratégia de lista de permissões – Você especifica explicitamente o acesso que é permitido. Todos os outros acessos são bloqueados implicitamente. Por padrão, o AWS Organizations anexa uma política gerenciada pela AWS denominada FullAWSAccess a todas as raízes, UOs e contas. Isso ajuda a garantir que, à medida que você desenvolve sua organização, nada fica bloqueado até você querer que seja. Em outras palavras, por padrão, todas as permissões são concedidas. Quando você estiver pronto para restringir permissões, substitua a política FullAWSAccess por uma que permita apenas o conjunto de permissões desejado e mais limitado. Os usuários e funções nas contas afetadas podem exercer apenas esse nível de acesso, mesmo que as políticas do IAM correspondentes permitam todas as ações. Se substituir a política padrão na raiz, todas as contas na organização serão afetadas pelas restrições. Não é possível adicionar as permissões de volta em um nível inferior na hierarquia porque uma SCP nunca concede permissões; ela apenas as filtra.
Estratégia de lista de negação: você especifica explicitamente o acesso que não é permitido. Todos os outros acessos são permitidos. Nesse cenário, todas as permissões são permitidas, a menos que explicitamente bloqueadas. Esse é o comportamento padrão do AWS Organizations. Por padrão, o AWS Organizations anexa uma política gerenciada pela AWS denominada FullAWSAccess a todas as raízes, UOs e contas. Isso permite que qualquer conta acesse qualquer serviço ou operação sem nenhuma restrição imposta pelo AWS Organizations Ao contrário da técnica de lista de permissões descrita acima, ao usar listas de negação, você deixa a política FullAWSAccess padrão no lugar (que permite “todos”). Mas, em seguida, você anexa políticas adicionais que negam explicitamente o acesso aos serviços e ações indesejados. Assim como acontece com as políticas de permissão do IAM,,. uma negação explícita de uma ação de serviço substitui qualquer permissão dessa ação.

Política de exclusão de serviços de inteligência artificial (IA)

Um tipo de política que ajuda você a padronizar suas configurações de exclusão para serviços de IA da AWS em todas as contas de sua organização. Certos serviços de IA da AWS podem armazenar e usar conteúdo de clientes processado por esses serviços para o desenvolvimento e a melhoria contínua dos serviços e tecnologias de IA da Amazon. Como um cliente da AWS, você pode usar as Políticas de exclusão de serviço de IA para optar por não ter o seu conteúdo armazenado nem utilizado para melhorias no serviço.

Política de backup

Um tipo de política que ajuda a padronizar e implementar uma estratégia de backup para os recursos de todas as contas de sua organização. Em um política de backup, você pode configurar e implantar planos de backup para seus recursos.

Política de tag

Um tipo de política que ajuda a padronizar tags em todos os recursos de todas as contas da organização. Em uma política de tag, você pode especificar regras de atribuição de tags para recursos específicos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Conceitos básicos do AWS Organizations

Tutoriais