AWS Organizations
Guia do usuário

Terminologia e conceitos do AWS Organizations

Para ajudá-lo a começar a usar o AWS Organizations, este tópico explica alguns dos conceitos-chave.

O diagrama a seguir mostra uma organização básica que consiste em sete contas que estão organizadas em quatro unidades organizacionais (UOs) na raiz. A organização também tem várias políticas que são anexadas a algumas das UOs ou diretamente a contas. Para obter uma descrição de cada um desses itens, consulte as definições neste tópico.


      Diagrama de organização básica
Organização

Uma entidade que você cria para consolidar suas AWS contas. Você pode usar o AWS Organizations console para visualizar e gerenciar centralmente todas as suas contas dentro da sua organização. Uma organização tem uma conta mestre e zero ou mais contas-membro. Você pode organizar as contas em uma estrutura em árvore hierárquica, com uma raiz na parte superior e unidades organizacionais aninhadas na raiz. Cada conta pode estar diretamente na raiz ou ser colocada em uma das UOs na hierarquia. Uma organização tem a funcionalidade que é determinada pelo conjunto de recursos que você ativar.

Raiz

O contêiner pai de todas as contas da sua organização. Se você aplicar uma política à raiz, ela será aplicada a todas as unidades organizacionais (UOs) e contas na organização.

nota

No momento, você pode ter apenas uma raiz. O AWS Organizations cria a raiz automaticamente para você quando uma organização é criada.

Unidade organizacional (UO)

Um contêiner para contas em uma raiz. Uma UO também pode conter outras UOs, permitindo que você crie uma hierarquia parecida com uma árvore de cabeça para baixo, com a raiz na parte superior e ramificações de UOs que se propagam para níveis inferiores, terminando em contas que são as folhas da árvore. Quando você anexa uma política a um dos nós na hierarquia, ele é propagado e afeta todas as ramificações (UOs) e folhas (contas) nos níveis inferiores. Uma UO pode ter exatamente um pai, e, atualmente, cada conta pode ser um membro de exatamente uma UO.

Conta

Uma conta padrão da AWS que contém seus recursos da AWS. Você pode anexar uma política a uma conta para aplicar controles a apenas uma única conta.

Uma organização tem uma única conta que é designada como a conta mestre. Essa é a conta que cria a organização. O resto das contas que pertencem a uma organização são chamadas de contas-membro. Na conta mestre da organização, você pode criar contas na organização, convidar outras contas existentes para a organização, remover contas da organização, gerenciar convites e aplicar políticas a entidades (raízes, UOs ou contas) dentro da organização. Uma conta da só pode ser membro de uma organização de cada vez.

A conta mestre tem as responsabilidades de uma conta do sacado e é responsável pelo pagamento de todas as cobranças que são acumuladas pelas contas-membro.

Convite

O processo para pedir que outra conta se inscreva na sua organização. Um convite pode ser emitido apenas pela conta mestre da organização e é estendido para o ID da conta ou endereço de e-mail associado à conta convidada. Após a conta convidada aceitar um convite, ela se torna uma conta-membro na organização. Os convites também podem ser enviados a todas as contas-membro atuais quando a organização precisa que todos os membros aprovem a alteração de oferecer suporte apenas a recursos de faturamento consolidado para oferecer suporte a todos os recursos na organização. Os convites funcionam com a troca de handshakes das contas. Embora você não veja handshakes ao trabalhar no console do AWS Organizations, se usar a AWS CLI ou a API do AWS Organizations, deverá trabalhar diretamente com handshakes.

Handshake

Um processo de várias etapas de troca de informações entre duas partes. Um de seus usos principais no AWS Organizations é servir como a implementação subjacente de convites. As mensagens de handshake são transmitidas e respondidas pelo iniciador de handshake e o destinatário de uma forma que garante que ambas as partes sempre saibam qual é o status atual. Handshakes também são usados ao alterar a organização de oferecer suporte apenas a recursos de faturamento consolidado para oferecer suporte a todos os recursos disponibilizados pelo AWS Organizations. Você geralmente precisará interagir diretamente com handshakes somente se trabalhar com a API do AWS Organizations ou ferramentas da linha de comando, como a AWS CLI.

Conjuntos de recursos disponíveis
  • Faturamento consolidado – Este conjunto de recursos fornece a funcionalidade de faturamento compartilhado, mas não inclui os recursos mais avançados do AWS Organizations, como o uso de políticas para restringir o que usuários e funções em diferentes contas podem fazer. Para usar os recursos avançados do AWS Organizations, você deve habilitar todos os recursos na sua organização.

  • Todos os recursos – O conjunto de recursos completo que está disponível para AWS Organizations. Inclui toda a funcionalidade do faturamento consolidado, além de recursos avançados que oferecem maior controle sobre as contas em sua organização. Por exemplo, quando todos os recursos estão ativados na conta mestre da organização, existe um controle total sobre o que as contas-membro podem fazer. A conta mestre pode aplicar SCPs para restringir os serviços e ações que os usuários (incluindo o usuário raiz) e as funções de uma conta podem acessar e pode impedir a saída de contas-membro da organização. Você pode criar uma organização com todos os recursos já ativados, ou pode ativar todos os recursos em uma organização que originalmente oferecia suporte apenas aos recursos de faturamento consolidado. Para ativar todos os recursos, todas as contas-membro convidadas devem aprovar a alteração aceitando o convite que é enviado quando a conta mestre inicia o processo.

Política de controle de serviço (SCP)

Uma política que especifica os serviços e ações que usuários e funções podem usar nas contas que a SCP afeta. As SCPs são semelhantes às políticas de permissão do IAM, exceto pelo fato de que não concedem permissões. Em vez disso, SCPs são filtros que permitem que apenas os serviços e ações especificados sejam usados nas contas afetadas. Mesmo que um usuário receba permissões de administrador completas com uma política de permissão do IAM, qualquer acesso que não seja explicitamente permitido ou que seja explicitamente negado pelas SCPs que afetam essa conta será bloqueado. Por exemplo, se você atribuir uma SCP que permita somente acesso de serviço de banco de dados à sua conta "banco de dados", qualquer usuário, grupo ou função dessa conta terá acesso negado a quaisquer outras operações de serviço. As SCPs estão disponíveis somente quando você ativa todos os recursos na sua organização. Você pode anexar uma SCP ao seguinte:

  • Uma raiz, o que afeta todas as contas na organização

  • Uma UO, o que afeta todas as contas dessa UO e todas as contas em qualquer UO na subárvore dessa UO

  • Uma conta individual

Importante

A conta mestre da organização não é afetada por nenhuma SCP anexada a ela ou a qualquer raiz ou UO em que a conta mestre pode estar.

Lista negra x lista de permissões

Lista negra e lista de permissões são técnicas complementares que você pode usar ao aplicar SCPs para filtrar as permissões que estão disponíveis para contas.

  • Lista de permissões – Você especifica explicitamente o acesso que é permitido. Todos os outros acessos são bloqueados implicitamente. Por padrão, o AWS Organizations anexa uma política gerenciada pela AWS chamada FullAWSAccess a todas as raízes, UOs e contas. Isso garante que, à medida que você criar sua organização, nada seja bloqueado até quando necessário. Em outras palavras, por padrão, todas as permissões estão nessa lista. Quando você estiver pronto para restringir permissões, substitua a política FullAWSAccess por uma que permita apenas o conjunto de permissões desejado e mais limitado. Os usuários e funções nas contas afetadas podem exercer apenas esse nível de acesso, mesmo que as políticas do IAM correspondentes permitam todas as ações. Se substituir a política padrão na raiz, todas as contas na organização serão afetadas pelas restrições. Você não pode adicioná-las de volta em um nível inferior na hierarquia porque uma SCP nunca concede permissões; ela apenas as filtra.

  • Lista negra – Você especifica explicitamente o acesso que não é permitido. Todos os outros acessos são permitidos. Nesse cenário, todas as permissões são permitidas, a menos que explicitamente bloqueadas. Esse é o comportamento padrão do AWS Organizations. Por padrão, o AWS Organizations anexa uma política gerenciada pela AWS chamada FullAWSAccess a todas as raízes, UOs e contas. Isso permite que qualquer conta acesse qualquer serviço ou operação sem nenhuma restrição imposta pelo AWS Organizations–. Diferentemente da técnica de lista de aprovação descrita acima, ao usar listas negras você normalmente deixa a política padrão FullAWSAccess no local (que permite "tudo"), mas, em seguida, anexa políticas adicionais que negam explicitamente o acesso aos serviços e ações indesejados. Assim como com as políticas de permissão do IAM, uma negação explícita de uma ação de serviço substitui qualquer permissão dessa ação.