Usar o AWS Organizations com outros serviços da AWS - AWS Organizations

Usar o AWS Organizations com outros serviços da AWS

Você pode usar o acesso confiável para habilitar um serviço compatível da AWS que você especificar, chamado serviço confiável, a executar tarefas em sua organização e suas contas em seu nome. Isso requer a concessão de permissões ao serviço confiável, mas não afeta de outra forma as permissões para usuários ou funções do IAM. Quando você habilita o acesso, o serviço confiável pode criar uma função do IAM denominada função vinculada ao serviço em todas as contas de sua organização sempre que a função for necessária. Essa função tem uma política de permissões que consente que o serviço confiável realize as tarefas que estão descritas na documentação do serviço. Isso permite que você especifique configurações e detalhes de configuração que deseja que o serviço confiável mantenha nas contas de sua organização em seu nome. O serviço confiável só cria funções vinculadas ao serviço quando precisa executar ações de gerenciamento em contas, e não necessariamente em todas as contas da organização.

Importante

Nós recomendamos muito que você habilite e desabilite o acesso confiável usando somente o console do serviço confiável ou a sua AWS CLI ou equivalentes de operação da API. Isso permite que o serviço confiável execute qualquer inicialização necessária ao habilitar o acesso confiável, como a criação de recursos necessários e a limpeza necessária de recursos ao desabilitar o acesso confiável.

Para obter informações sobre como habilitar ou desabilitar o acesso a serviços confiáveis para sua organização usando o serviço confiável, consulte o link Saiba mais abaixo da coluna Supports Trusted Access (Suporta ao acesso confiável) em Serviços da AWS que podem ser usados com o AWS Organizations.

Se você desabilitar o acesso usando o console do Organizations, comandos de CLI ou operações de API, isso fará com que as seguintes ações ocorram:

  • O serviço não pode mais criar uma função vinculada ao serviço nas contas de sua organização. Isso significa que o serviço não pode executar operações em seu nome em nenhuma conta nova de sua organização. O serviço ainda pode executar operações em contas mais antigas até que o serviço conclua sua limpeza a partir do AWS Organizations.

  • O serviço não pode mais executar tarefas nas contas-membro da organização, a menos que essas operações sejam explicitamente permitidas pelas políticas do IAM anexadas às suas funções. Isto inclui qualquer agregação de dados das contas-membro para a conta de gerenciamento ou para uma conta de administrador delegado, quando relevante.

  • Alguns serviços detectam isso e limpam quaisquer dados ou recursos remanescentes relacionados à integração, enquanto outros serviços param de acessar a organização, mas deixam quaisquer dados históricos e configurações implementadas, para suportar uma possível reativação da integração.

Em vez disso, usar o console ou comandos do outro serviço para desabilitar a integração garante que o outro serviço possa limpar todos os recursos necessários somente para a integração. A forma como o serviço limpa seus recursos nas contas da organização depende desse serviço. Para obter mais informações, consulte a documentação do serviço da AWS.

Permissões necessárias para habilitar o acesso confiável

O acesso confiável exige permissões para dois serviços: o AWS Organizations e o serviço confiável. Para permitir o acesso confiável, escolha um dos seguintes cenários:

  • Se você tiver credenciais com permissões no AWS Organizations e no serviço confiável, habilite o acesso usando as ferramentas (o console ou a AWS CLI) disponíveis no serviço confiável. Isso permite que o serviço confiável habilite o acesso confiável no AWS Organizations em seu nome e cria todos os recursos necessários para que o serviço opere em sua organização.

    As permissões mínimas para essas credenciais são as seguintes:

    • organizations:EnableAWSServiceAccess. Você pode usar também a chave de condição organizations:ServicePrincipal com essa operação para restringir as solicitações que essas operações fazem a uma lista de nomes de entidades primárias de serviço aprovadas. Para mais informações, consulte Chaves de condição.

    • organizations:ListAWSServiceAccessForOrganization – Necessário se você usa o console do AWS Organizations.

    • As permissões mínimas necessárias pelo serviço confiável dependem do serviço. Para obter mais informações, consulte a documentação do serviço confiável.

  • Se uma pessoa tiver credenciais com permissões no AWS Organizations, mas outra pessoa tiver credenciais com permissões no serviço confiável, realize estas etapas na seguinte ordem:

    1. A pessoa que tem credenciais com permissões no AWS Organizations deve usar o console do AWS Organizations, a AWS CLI ou um SDK da AWS para permitir o acesso confiável para o serviço confiável. Isso concede permissão para que outros serviços executem sua configuração necessária na organização quando a etapa seguinte (etapa 2) é realizada.

      As permissões mínimas do AWS Organizations são as seguintes:

      • organizations:EnableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization – Necessário somente se você usa o console do AWS Organizations

      Sobre as etapas específicas para permitir acesso confiável no AWS Organizations, consulte Como habilitar ou desabilitar o acesso confiável.

    2. A pessoa que tem credenciais com permissões no serviço confiável permite que esse serviço funcione com o AWS Organizations. Isso instrui o serviço a realizar qualquer inicialização necessária, como a criação de recursos necessários para que o serviço confiável opere na organização. Para obter mais informações, consulte as instruções específicas do serviço em Serviços da AWS que podem ser usados com o AWS Organizations.

Permissões necessárias para desabilitar o acesso confiável

Quando você não quiser mais permitir que o serviço confiável opere em sua organização ou suas contas, escolha um dos seguintes cenários.

Importante

Desabilitar o acesso ao serviço confiável não impede que os usuários e as funções com permissões apropriadas usem esse serviço. Para impedir completamente que usuários e perfis acessem um serviço da AWS, você pode remover as permissões do IAM que concedem o acesso ou usar políticas de controle de serviço (SCPs) no AWS Organizations.

Você pode aplicar SCPs somente às contas-membro. As SCPs não se aplicam à conta de gerenciamento. Recomendamos que você não execute serviços na conta de gerenciamento. Em vez disso, execute-os em contas-membro, onde você pode controlar a segurança usando SCPs.

  • Se você tiver credenciais com permissões no AWS Organizations e no serviço confiável, desabilite o acesso usando as ferramentas (o console ou a AWS CLI) disponíveis para o serviço confiável. Em seguida, o serviço faz a limpeza, removendo recursos que não são mais necessários e desabilitando o acesso confiável do serviço no AWS Organizations em seu nome.

    As permissões mínimas para essas credenciais são as seguintes:

    • organizations:DisableAWSServiceAccess. Você pode usar também a chave de condição organizations:ServicePrincipal com essa operação para restringir as solicitações que essas operações fazem a uma lista de nomes de entidades primárias de serviço aprovadas. Para mais informações, consulte Chaves de condição.

    • organizations:ListAWSServiceAccessForOrganization – Necessário se você usa o console do AWS Organizations.

    • As permissões mínimas necessárias pelo serviço confiável dependem do serviço. Para obter mais informações, consulte a documentação do serviço confiável.

  • Se as credenciais com permissões no AWS Organizations não forem as credenciais com permissões no serviço confiável, realize estas etapas na seguinte ordem:

    1. A pessoa com permissões no serviço confiável primeiro desabilita o acesso usando esse serviço. Isso instrui o serviço confiável a fazer a limpeza removendo os recursos necessários para o acesso confiável. Para obter mais informações, consulte as instruções específicas do serviço em Serviços da AWS que podem ser usados com o AWS Organizations.

    2. A pessoa com permissões no AWS Organizations pode usar o console do AWS Organizations, a AWS CLI ou um SDK da AWS para desabilitar o acesso para o serviço confiável. Isso remove as permissões para o serviço confiável de sua organização e de suas contas.

      As permissões mínimas do AWS Organizations são as seguintes:

      • organizations:DisableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization – Necessário somente se você usa o console do AWS Organizations

      Sobre as etapas específicas para não permitir acesso confiável no AWS Organizations, consulte Como habilitar ou desabilitar o acesso confiável.

Como habilitar ou desabilitar o acesso confiável

Se você tiver permissões somente para o AWS Organizations e quiser habilitar ou desabilitar o acesso confiável para sua organização em nome do administrador de outro serviço da AWS, use o procedimento a seguir.

Importante

Nós recomendamos muito que você habilite e desabilite o acesso confiável usando somente o console do serviço confiável ou a sua AWS CLI ou equivalentes de operação da API. Isso permite que o serviço confiável execute qualquer inicialização necessária ao habilitar o acesso confiável, como a criação de recursos necessários e a limpeza necessária de recursos ao desabilitar o acesso confiável.

Para obter informações sobre como habilitar ou desabilitar o acesso a serviços confiáveis para sua organização usando o serviço confiável, consulte o link Saiba mais abaixo da coluna Supports Trusted Access (Suporta ao acesso confiável) em Serviços da AWS que podem ser usados com o AWS Organizations.

Se você desabilitar o acesso usando o console do Organizations, comandos de CLI ou operações de API, isso fará com que as seguintes ações ocorram:

  • O serviço não pode mais criar uma função vinculada ao serviço nas contas de sua organização. Isso significa que o serviço não pode executar operações em seu nome em nenhuma conta nova de sua organização. O serviço ainda pode executar operações em contas mais antigas até que o serviço conclua sua limpeza a partir do AWS Organizations.

  • O serviço não pode mais executar tarefas nas contas-membro da organização, a menos que essas operações sejam explicitamente permitidas pelas políticas do IAM anexadas às suas funções. Isto inclui qualquer agregação de dados das contas-membro para a conta de gerenciamento ou para uma conta de administrador delegado, quando relevante.

  • Alguns serviços detectam isso e limpam quaisquer dados ou recursos remanescentes relacionados à integração, enquanto outros serviços param de acessar a organização, mas deixam quaisquer dados históricos e configurações implementadas, para suportar uma possível reativação da integração.

Em vez disso, usar o console ou comandos do outro serviço para desabilitar a integração garante que o outro serviço possa limpar todos os recursos necessários somente para a integração. A forma como o serviço limpa seus recursos nas contas da organização depende desse serviço. Para obter mais informações, consulte a documentação do serviço da AWS.

AWS Management Console

Habilitar o acesso de serviço confiável

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Services (Serviços), localize a linha do serviço que você deseja habilitar e escolha seu nome.

  3. Escolha Enable trusted access (Habilitar acesso confiável).

  4. Na caixa de diálogo de confirmação, marque a caixa para Show the option to enable trusted access (Mostrar a opção para habilitar o acesso confiável), insira enable na caixa e, em seguida, escolha Enable trusted access (Ativar o acesso confiável).

  5. Se você estiver habilitando acesso, informe ao administrador do outro serviço da AWS que ele agora pode habilitar o outro serviço para funcionar com o AWS Organizations.

Para desabilitar acesso a serviço confiável

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Services (Serviços), localize a linha do serviço que você deseja desabilitar e escolha seu nome.

  3. Aguarde até que o administrador do outro serviço informe que o serviço está desabilitado e que os recursos foram limpos.

  4. Na caixa de diálogo de confirmação, insira disable e, em seguida, escolha Disable trusted access (Desabilitar acesso confiável).

AWS CLI, AWS API

Para habilitar ou desabilitar acesso a serviço confiável

Você pode usar os comandos da AWS CLI ou as operações de API a seguir para habilitar ou desabilitar o acesso ao serviço confiável:

AWS Organizations e funções vinculadas ao serviço

O AWS Organizations usa funções vinculadas ao serviço do IAM para permitir que os serviços confiáveis realizem tarefas em seu nome nas contas-membro da organização. Quando você configura um serviço confiável e o autoriza a se integrar com sua organização, esse serviço pode solicitar que o AWS Organizations crie uma função vinculada ao serviço em sua conta-membro. O serviço confiável faz isso de forma assíncrona, conforme a necessidade, e não obrigatoriamente em todas as contas da organização ao mesmo tempo. A função vinculada ao serviço tem permissões predefinidas do IAM que possibilitam que outro serviço confiável realize tarefas específicas nessa conta. Em geral, a AWS gerencia todas as funções vinculadas ao serviço, o que significa que você geralmente não pode alterar as funções ou as políticas anexadas.

Para tornar tudo isso possível, quando você criar uma conta em uma organização ou aceitar um convite para ingressar sua conta existente em uma organização, o AWS Organizations faz a provisão da conta-membro com uma função vinculada ao serviço denominada AWSServiceRoleForOrganizations. Somente o próprio serviço do AWS Organizations pode assumir essa função. A função tem permissões que possibilitam que o AWS Organizations crie funções vinculadas ao serviço para outros serviços da AWS. Essa função vinculada ao serviço está presente em todas as organizações.

Embora não seja recomendável, se sua organização tiver apenas os recursos de faturamento consolidado habilitados, a função vinculada a serviço denominada AWSServiceRoleForOrganizations nunca será usada e você poderá excluí-la. Para habilitar posteriormente todos os recursos em sua organização, a função será necessária e deverá ser restaurada. As seguintes verificações ocorrem quando você inicia o processo para ativar todos os recursos:

  • Para cada conta-membro que foi convidada a ingressar na organização – O administrador da conta recebe uma solicitação para concordar em habilitar todos os recursos. Para aceitar a solicitação corretamente, o administrador deve ter as permissões organizations:AcceptHandshake e iam:CreateServiceLinkedRole caso a função vinculada ao serviço (AWSServiceRoleForOrganizations) ainda não exista. Se a função AWSServiceRoleForOrganizations já existir, o administrador precisa apenas da permissão organizations:AcceptHandshake para concordar com a solicitação. Quando o administrador concordar com a solicitação, o AWS Organizations criará a função vinculada ao serviço, caso ela não exista.

  • Para cada conta-membro que foi criada na organização – O administrador da conta recebe uma solicitação para recriar a função vinculada ao serviço. (O administrador da conta-membro não recebe uma solicitação para habilitar todos os recursos, pois o administrador da conta de gerenciamento (antes conhecida como "conta mestra") é considerado o proprietário das contas-membro criadas.) O AWS Organizations cria a função vinculada ao serviço quando o administrador da conta-membro aceita com a solicitação. O administrador deve ter as permissões organizations:AcceptHandshake e iam:CreateServiceLinkedRole para aceitar com êxito o handshake.

Após ativar todos os recursos em sua organização, você não poderá mais excluir a função vinculada ao serviço AWSServiceRoleForOrganizations de qualquer conta.

Importante

As SCPs do AWS Organizations nunca afetam as funções vinculadas a serviço. Essas funções são isentas de quaisquer restrições da SCP.