Terminologia e conceitos do AWS Organizations - AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Terminologia e conceitos do AWS Organizations

Para ajudá-lo a começar a usar o AWS Organizations, este tópico explica alguns dos conceitos-chave.

O diagrama a seguir mostra uma organização básica que consiste em cinco contas que estão organizadas em quatro unidades organizacionais (UOs) na raiz. A organização também tem várias políticas que são anexadas a algumas das UOs ou diretamente a contas. Para obter uma descrição de cada um desses itens, consulte as definições neste tópico.


            Diagrama de organização básica
A empresa

Uma entidade que você cria para consolidar seuAWS contasPara que você possa administrá-los como uma unidade única. Você pode usar o AWS Organizations console para visualizar e gerenciar centralmente todas as suas contas dentro da sua organização. Uma organização tem uma conta de gerenciamento e zero ou mais contas-membro. Você pode organizar as contas em uma estrutura em árvore hierárquica, com uma raiz na parte superior e unidades organizacionais aninhadas na raiz. Cada conta pode estar diretamente na raiz ou ser colocada em uma das UOs na hierarquia. Uma organização tem a funcionalidade que é determinada pelo conjunto de recursos que você ativar.

Raiz

O contêiner pai de todas as contas da sua organização. Se você aplicar uma política à raiz, ela será aplicada a todas as unidades organizacionais (UOs) e contas na organização.

nota

No momento, você pode ter apenas uma raiz. O AWS Organizations cria a raiz automaticamente para você quando uma organização é criada.

Unidade organizacional (UO)

Um contêiner para contas em uma raiz. Uma UO também pode conter outras UOs, permitindo que você crie uma hierarquia parecida com uma árvore de cabeça para baixo, com a raiz na parte superior e ramificações de UOs que se propagam para níveis inferiores, terminando em contas que são as folhas da árvore. Quando você anexa uma política a um dos nós na hierarquia, ele é propagado e afeta todas as ramificações (UOs) e folhas (contas) nos níveis inferiores. Uma UO pode ter exatamente um pai, e, atualmente, cada conta pode ser um membro de exatamente uma UO.

Conta

Uma conta em Organizations é um padrão Conta da AWS que contém o seuAWSe as identidades que podem acessar esses recursos.

dica

UmaAWSconta énãoa mesma coisa que uma “conta de usuário”. UmaAWSUsuárioé uma identidade que você cria usandoAWS Identity and Access Management(IAM) e assume a forma de umUsuário IAM com credenciais de longo prazo, ou umFunção IAM com credenciais de curto prazo. Um únicoAWSpode, e normalmente contém muitos usuários e funções.

Há dois tipos de contas em uma organização: uma única conta designada como a conta de gerenciamento e uma ou mais contas-membro.

  • OConta de gerenciamentoé a conta que você usa para criar a organização. Na conta de gerenciamento da organização, você pode fazer o seguinte:

    • Criar contas na organização

    • Convidar outras contas existentes para a organização

    • Remover contas da organização

    • Gerenciar convites

    • Aplicar políticas a entidades (raízes, UOs ou contas) dentro da organização

    • Habilite integração com o suporteAWSServiços para fornecer funcionalidade de serviço em todas as contas da organização.

    A conta de gestão tem as responsabilidades de umConta do pagantee é responsável pelo pagamento de todas as cobranças que são acumuladas pelas contas do membro. Não é possível alterar a conta de gerenciamento de uma organização.

  • Contas-membrocompõem todo o resto das contas em uma organização. Uma conta da só pode ser membro de uma organização de cada vez. Você pode anexar uma política a uma conta para aplicar controles a apenas uma única conta.

Convite

O processo para pedir que outra conta se inscreva na sua organização. Um convite só pode ser emitido pela conta de gerenciamento da organização. O convite é estendido para o ID da conta ou para o endereço de e-mail associado à conta convidada. Após a conta convidada aceitar um convite, ela se torna uma conta-membro na organização. Os convites também podem ser enviados a todas as contas-membro atuais quando a organização precisa que todos os membros aprovem a alteração de oferecer suporte apenas a recursos de faturamento consolidado para oferecer suporte a todos os recursos na organização. Os convites funcionam com a troca de handshakes das contas. Talvez você não veja handshakes quando trabalha no console do AWS Organizations. Mas se você usar a AWS CLI ou a API do AWS Organizations, deverá trabalhar diretamente com handshakes.

Handshake

Um processo de várias etapas de troca de informações entre duas partes. Um de seus usos principais no AWS Organizations é servir como a implementação subjacente de convites. As mensagens de handshake são transmitidas entre o iniciador de handshake e o destinatário e respondidas por eles. As mensagens são transmitidas de uma forma que ajuda a garantir que ambas as partes saibam qual é o status atual. Handshakes também são usados ao alterar a organização de oferecer suporte apenas a recursos de faturamento consolidado para oferecer suporte a todos os recursos disponibilizados pelo AWS Organizations. Você geralmente precisará interagir diretamente com handshakes somente se trabalhar com a API do AWS Organizations ou ferramentas da linha de comando, como a AWS CLI.

Conjuntos de recursos disponíveis
  • Todos os recursos— O conjunto de recursos padrão que está disponível para oAWS Organizations. Inclui toda a funcionalidade do faturamento consolidado, além de recursos avançados que oferecem maior controle sobre as contas em sua organização. Por exemplo, quando todos os recursos estão habilitados, a conta de gerenciamento da organização tem controle total sobre o que as contas de membro podem fazer. A conta de gerenciamento pode aplicarSCPsPara restringir os serviços e ações que os usuários (incluindo o usuário raiz) e as funções em uma conta podem acessar. A conta de gerenciamento também pode impedir que contas-membro saiam da organização.Você também pode habilitar a integração com o suporteAWSPara permitir que esses serviços forneçam funcionalidade em todas as contas da sua organização.

    Você pode criar uma organização com todos os recursos já habilitados, ou pode habilitar todos os recursos em uma organização que originalmente oferecia suporte apenas aos recursos de faturamento consolidado. Para habilitar todos os recursos, todas as contas de membro convidadas devem aprovar a alteração aceitando o convite que é enviado quando a conta de gerenciamento inicia o processo.

  • faturamento consolidado— Esse conjunto de recursos fornece funcionalidade de faturamento compartilhado, mas onãoincluem os recursos mais avançados doAWS Organizations. Por exemplo, não é possível habilitar outrosAWSserviços para integrar com sua organização para trabalhar em todas as suas contas,ou use políticas para restringir o que usuários e funções em contas diferentes podem fazer. Para usar os recursos avançados do AWS Organizations, habilite todos os recursos em sua organização.

Política de controle de serviço (SCP - service control policy)

Uma política que especifica os serviços e as ações que os usuários e as funções podem usar nas contas que o SCP afeta. Os SCPs são semelhantes às políticas de permissão do IAM, com a exceção de que não concedem permissões. Em vez disso, as SCPs especificam o máximo de permissões para uma organização, unidade organizacional (UO) ou conta. Quando você anexa uma SCP à sua organização raiz ou a uma UO, a SCP limita as permissões a entidades em contas-membro.

Listas de permissões versus listas de negações

Listas de permissões e listas de negações são estratégias complementares que você pode usar para aplicar SCPs para filtrar as permissões disponíveis para as contas.

  • Estratégia de lista de permissões— Você especifica explicitamente o acesso que oéPermitido. Todos os outros acessos são bloqueados implicitamente. Por padrão, o AWS Organizations anexa uma política gerenciada pela AWS chamada FullAWSAccess a todas as raízes, UOs e contas. Isso ajuda a garantir que, à medida que você criar sua organização, nada seja bloqueado até quando necessário. Em outras palavras, por padrão, todas as permissões são concedidas. Quando você estiver pronto para restringir permissões, substitua a política FullAWSAccess por uma que permita apenas o conjunto de permissões desejado e mais limitado. Os usuários e funções nas contas afetadas podem exercer apenas esse nível de acesso, mesmo que as políticas do IAM permitam todas as ações. Se substituir a política padrão na raiz, todas as contas na organização serão afetadas pelas restrições. Não é possível adicionar as permissões de volta em um nível inferior na hierarquia porque uma SCP nunca concede permissões; ela apenas as filtra.

  • Estratégia de negação— Você especifica explicitamente o acesso que onão éPermitido. Todos os outros acessos são permitidos. Nesse cenário, todas as permissões são permitidas, a menos que explicitamente bloqueadas. Esse é o comportamento padrão do AWS Organizations. Por padrão, o AWS Organizations anexa uma política gerenciada pela AWS chamada FullAWSAccess a todas as raízes, UOs e contas. Isso permite que qualquer conta acesse qualquer serviço ou operação sem nenhuma restrição imposta pelo AWS Organizations Ao contrário da técnica de lista de permissões descrita acima, ao usar listas de negação, você deixa a política FullAWSAccess padrão no lugar (que permite “todos”). Mas, em seguida, você anexa políticas adicionais que negam explicitamente o acesso aos serviços e ações indesejados. Assim como com as políticas de permissão do IAM, uma negação explícita de uma ação de serviço substitui qualquer permissão dessa ação.

Política de exclusão de serviços de inteligência artificial (IA)

Um tipo de política que ajuda você a padronizar suas configurações de exclusão paraAWSServiços de IA em todas as contas da sua organização. CertosAWSOs serviços de IA podem armazenar e usar o conteúdo do cliente processado por esses serviços para o desenvolvimento e a melhoria contínua dos serviços e tecnologias da Amazon AI. Como umAWScliente, você pode usarPolíticas de desativação do serviço de IApara optar por não ter o seu conteúdo armazenado ou utilizado para melhorias no serviço.

Política de backup

Um tipo de política que ajuda a padronizar e implementar uma estratégia de backup para os recursos em todas as contas da sua organização. Em umPolítica de backup, você pode configurar e implantar planos de backup para seus recursos.

Política de tag

Um tipo de política que ajuda a padronizar tags entre recursos em todas as contas da sua organização. Em uma política de tag, você pode especificar regras de atribuição de tags para recursos específicos.