Gerenciar as Contas da AWS em sua organização - AWS Organizations

Gerenciar as Contas da AWS em sua organização

Uma organização é uma coleção de Contas da AWS que você gerencia juntas. Você pode executar as seguintes tarefas para gerenciar as contas que fazem parte da sua organização:

Impacto de estar em uma organização

Impacto para uma Conta da AWS que entra em uma organização?

Quando você convida uma Conta da AWS para participar de uma organização e o proprietário da conta aceita o convite, o AWS Organizations faz automaticamente as seguintes alterações na nova conta-membro:

  • O AWS Organizations cria uma função vinculada ao serviço AWSServiceRoleForOrganizations. A conta deverá ter essa função se a organização for compatível com todos os recursos. Você só poderá excluir essa função se a organização oferecer suporte apenas ao conjunto de recursos de faturamento consolidado. Se excluir a função e depois você habilitar todos os recursos na organização, o AWS Organizations recriará a função para a conta.

  • Você pode ter várias políticas anexadas à raiz da organização ou à UO que contém a conta. Nesse caso, essas políticas se aplicam imediatamente a todos os usuários e funções na conta convidada.

  • Você pode habilitar a confiança de serviço para outro serviço da AWS para a sua organização. Desse modo, esse serviço confiável poderá criar funções vinculadas ao serviço ou executar ações em qualquer conta-membro na organização, incluindo em uma conta convidada.

nota

Para contas-membro convidadas, o AWS Organizations não cria automaticamente a função do IAM OrganizationAccountAccessRole. Essa função concede aos usuários na conta de gerenciamento acesso administrativo à conta-membro. Se quiser habilitar esse nível de controle administrativo sobre uma conta convidada, você pode adicionar manualmente a função. Para mais informações, consulte Criar OrganizationAccountAccessRole na conta-membro convidada.

Você pode convidar uma conta para afiliar-se a uma organização que tenha apenas recursos de faturamento consolidado habilitados. Se você quiser habilitar posteriormente todos os recursos para a organização, as contas convidadas devem aprovar a alteração.

Impacto em uma Conta da AWS criada por você em uma organização?

Quando você cria uma Conta da AWS na sua organização, o AWS Organizations faz automaticamente as seguintes alterações na nova conta-membro:

  • O AWS Organizations cria uma função vinculada ao serviço AWSServiceRoleForOrganizations. A conta deverá ter essa função se a organização for compatível com todos os recursos. Você só poderá excluir essa função se a organização oferecer suporte apenas ao conjunto de recursos de faturamento consolidado. Se excluir a função e depois você habilitar todos os recursos na organização, o AWS Organizations recriará a função para a conta.

  • O AWS Organizations cria a função do IAM OrganizationAccountAccessRole. Essa função concede à conta de gerenciamento acesso à nova conta-membro. Embora essa função possa ser excluída, recomendamos que você não o faça para que ela fique disponível como uma opção de recuperação.

  • Se você tiver alguma política anexada à raiz da árvore da UO, essa política será aplicada imediatamente a todos os usuários e funções na conta criada. Novas contas são adicionados à UO raiz por padrão.

  • Se você tiver habilitado a relação de confiança do serviço para outro serviço da AWS para a sua organização, esse serviço confiável poderá criar funções vinculadas a serviço ou realizar ações em qualquer conta-membro na organização, inclusive na conta criada.