Terminologia e conceitos do AWS Organizations - AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Terminologia e conceitos do AWS Organizations

Para ajudá-lo a começar a usar o AWS Organizations, este tópico explica alguns dos conceitos-chave.

O diagrama a seguir mostra uma organização básica que consiste em sete contas que estão organizadas em quatro unidades organizacionais (UOs) na raiz. A organização também tem várias políticas que são anexadas a alguns dos OUs ou diretamente a contas. Para obter uma descrição de cada um desses itens, consulte as definições neste tópico.


            Diagrama de organização básica
nota

AWS Organizations O está alterando o nome da "conta mestra" para "conta de gerenciamento". Trata-se apenas de uma alteração de nome, e não há alteração na funcionalidade. Talvez você continue vendo algumas instâncias do termo antigo enquanto concluímos o trabalho para fazer a transição para o termo mais recente. Se você vir um comentário que perdemos, use o link Feedback (Comentários) na parte superior da página para nos informar.

Organization

Uma entidade criada para consolidar suas contas da AWS para que você possa administrá-las como uma única unidade. Você pode usar o AWS Organizations console para visualizar e gerenciar centralmente todas as suas contas dentro da sua organização. Uma organização tem uma conta de gerenciamento juntamente com zero ou mais contas de membro. Você pode organizar as contas em uma estrutura em árvore hierárquica, com uma raiz na parte superior e unidades organizacionais aninhadas na raiz. Cada conta pode estar diretamente na raiz ou ser colocada em um dos OUs na hierarquia. Uma organização tem a funcionalidade que é determinada pelo conjunto de recursos que você ativar.

Raiz

O contêiner pai de todas as contas da sua organização. Se você aplicar uma política à raiz, ela será aplicada a todas as unidades organizacionais (UOs) e contas na organização.

nota

No momento, você pode ter apenas uma raiz. O AWS Organizations cria a raiz automaticamente para você quando uma organização é criada.

Unidade organizacional (UO)

Um contêiner para contas em uma raiz. Uma UO também pode conter outros OUs, permitindo que você crie uma hierarquia parecida com uma árvore de cabeça para baixo, com uma raiz na parte superior e ramificações de OUs que se propagam, terminando em contas que são as folhas da árvore. Quando você anexa uma política a um dos nós na hierarquia, ele é propagado e afeta todas as ramificações (UOs) e folhas (contas) nos níveis inferiores. Uma UO pode ter exatamente um pai, e, atualmente, cada conta pode ser um membro de exatamente uma UO.

Conta

Uma conta padrão da AWS que contém seus recursos da AWS. Você pode anexar uma política a uma conta para aplicar controles a apenas uma única conta.

Há dois tipos de contas em uma organização: uma única conta designada como a conta de gerenciamento e contas-membro.

  • A conta de gerenciamento é a conta que você usa para criar a organização. Na conta de gerenciamento da organização, você pode fazer o seguinte:

    • Criar contas na organização

    • Convidar outras contas existentes para a organização

    • Remover contas da organização

    • Gerenciar convites

    • Aplicar políticas a entidades (raízes, OUs ou contas) dentro da organização

    A conta de gerenciamento tem as responsabilidades de uma conta pagante e é responsável pelo pagamento de todas as cobranças acumuladas pelas contas-membro. Você não pode alterar a conta de gerenciamento de uma organização.

  • O restante das contas que pertencem a uma organização são chamadas de contas-membro. Uma conta da só pode ser membro de uma organização de cada vez.

Convite

O processo para pedir que outra conta se inscreva na sua organização. Um convite só pode ser emitido pela conta de gerenciamento da organização. O convite é estendido para o ID da conta ou para o endereço de e-mail associado à conta convidada. Após a conta convidada aceitar um convite, ela se torna uma conta-membro na organização. Os convites também podem ser enviados a todas as contas-membro atuais quando a organização precisa que todos os membros aprovem a alteração de oferecer suporte apenas a recursos de faturamento consolidado para oferecer suporte a todos os recursos na organização. Os convites funcionam com a troca de handshakes das contas. Talvez você não veja handshakes quando trabalha no console do AWS Organizations. Mas se você usar a AWS CLI ou a API do AWS Organizations, deverá trabalhar diretamente com handshakes.

Handshake

Um processo de várias etapas de troca de informações entre duas partes. Um de seus usos principais no AWS Organizations é servir como a implementação subjacente de convites. As mensagens de handshake são transmitidas entre o iniciador de handshake e o destinatário e respondidas por eles. As mensagens são transmitidas de uma forma que ajuda a garantir que ambas as partes saibam qual é o status atual. Handshakes também são usados ao alterar a organização de oferecer suporte apenas a recursos de faturamento consolidado para oferecer suporte a todos os recursos disponibilizados pelo AWS Organizations. Você geralmente precisará interagir diretamente com handshakes somente se trabalhar com a API do AWS Organizations ou ferramentas da linha de comando, como a AWS CLI.

Conjuntos de recursos disponíveis
  • Todos os recursos – o conjunto de recursos padrão que está disponível para o AWS Organizations. Inclui toda a funcionalidade do faturamento consolidado, além de recursos avançados que oferecem maior controle sobre as contas em sua organização. Por exemplo, quando todos os recursos estão habilitados, a conta de gerenciamento da organização tem controle total sobre o que as contas-membro podem fazer. A conta de gerenciamento pode aplicar SCPs para restringir os serviços e ações que os usuários (incluindo o usuário raiz) e as funções em uma conta podem acessar. A conta de gerenciamento também pode impedir que contas-membro saiam da organização.Você pode criar uma organização com todos os recursos já habilitados, ou pode habilitar todos os recursos em uma organização que originalmente oferecia suporte apenas aos recursos de faturamento consolidado. Para ativar todos os recursos, todas as contas-membro convidadas devem aprovar a alteração aceitando o convite enviado quando a conta de gerenciamento inicia o processo.

  • Faturamento consolidado – esse conjunto de recursos fornece funcionalidade de cobrança compartilhada, mas não inclui os recursos mais avançados do AWS Organizations. Por exemplo, você não pode usar políticas para restringir o que usuários e funções em contas diferentes podem fazer. Para usar os recursos avançados do AWS Organizations, habilite todos os recursos em sua organização.

Política de controle de serviço (SCP - service control policy)

Uma política que especifica os serviços e as ações que os usuários e as funções podem usar nas contas que o SCP afeta. SCPs são semelhantes às políticas de permissões do IAM, com a exceção de que não concedem permissões. Em vez disso, SCPs especifica o número máximo de permissões para uma organização, unidade organizacional (UO) ou conta. Quando você anexa uma SCP à sua organização raiz ou a uma UO, a SCP limita as permissões a entidades em contas-membro.

Listas de permissões versus listas de negações

Listas de permissões e listas de negações são estratégias complementares que você pode usar para aplicar SCPs para filtrar as permissões disponíveis para contas.

  • Estratégia de lista de permissões: você especifica explicitamente o acesso que é permitido. Todos os outros acessos são bloqueados implicitamente. Por padrão, o AWS Organizations anexa uma política gerenciada pela AWS chamada FullAWSAccess a todas as raízes, OUs e contas. Isso ajuda a garantir que, à medida que você criar sua organização, nada seja bloqueado até que você queira. Em outras palavras, por padrão, todas as permissões são concedidas. Quando você estiver pronto para restringir permissões, substitua a política FullAWSAccess por uma que permita apenas o conjunto de permissões desejado e mais limitado. Os usuários e funções nas contas afetadas podem exercer apenas esse nível de acesso, mesmo que as políticas do IAM correspondentes permitam todas as ações. Se substituir a política padrão na raiz, todas as contas na organização serão afetadas pelas restrições. Não é possível adicionar as permissões de volta em um nível inferior na hierarquia porque uma SCP nunca concede permissões; ela apenas as filtra.

  • Estratégia de lista de negações: você especifica explicitamente o que não é permitido. Todos os outros acessos são permitidos. Nesse cenário, todas as permissões são permitidas, a menos que explicitamente bloqueadas. Esse é o comportamento padrão do AWS Organizations. Por padrão, o AWS Organizations anexa uma política gerenciada pela AWS chamada FullAWSAccess a todas as raízes, OUs e contas. Isso permite que qualquer conta acesse qualquer serviço ou operação sem nenhuma restrição imposta pelo AWS Organizations–. Ao contrário da técnica de lista de permissões descrita acima, ao usar listas de negação, você deixa a política FullAWSAccess padrão no lugar (que permite “todos”). Mas, em seguida, você anexa políticas adicionais que negam explicitamente o acesso aos serviços e ações indesejados. Assim como com as políticas de permissão do IAM, uma negação explícita de uma ação de serviço substitui qualquer permissão dessa ação.

Política de cancelamento de serviços de inteligência artificial (AI)

Um tipo de política que ajuda você a padronizar suas configurações de cancelamento de políticas para serviços de IA da AWS em todas as contas em sua organização. Alguns serviços de IA da AWS podem armazenar e usar conteúdo de cliente processado por esses serviços para desenvolvimento e melhoria contínua de serviços e tecnologias de IA da Amazon. Como um cliente da AWS, você pode usar políticas de cancelamento de serviço de inteligência artificial para optar por não ter seu conteúdo armazenado ou usado para melhorias no serviço.

Política de backup

Um tipo de política que ajuda você a padronizar e implementar uma estratégia de backup para os recursos em todas as contas em sua organização. Em uma política de backup, você pode configurar e implantar planos de backup para seus recursos.

Política de tag

Um tipo de política que ajuda você a padronizar tags entre recursos em todas as contas da organização. Em uma política de tag, você pode especificar regras de atribuição de tags para recursos específicos.