Gerenciar unidades organizacionais (UOs) - AWS Organizations

Gerenciar unidades organizacionais (UOs)

Você pode usar unidades organizacionais (UOs) para agrupar contas e administrá-las como uma unidade única. Isso simplifica bastante o gerenciamento de suas contas. Por exemplo, você pode anexar um controle baseado em política a uma UO, e todas as contas da UO herdarão a política automaticamente. Você pode criar várias UOs em uma única organização, e pode criar UOs dentro de outras UOs. Cada UO pode conter várias contas, e você pode mover contas de uma UO para outra. No entanto, os nomes da UO devem ser exclusivos em uma UO pai ou raiz.

nota

Há uma raiz na organização, que o AWS Organizations cria quando você configura sua organização pela primeira vez.

Para estruturar as contas em sua organização, você pode executar as seguintes tarefas:

Para navegar para diferentes UOs ou para a raiz quando mover contas ou anexar políticas, você pode usar a visualização padrão em "árvore".

AWS Management Console

Para navegar na organização como uma "árvore"

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Contas da AWS, na parte superior da seção Organization (Organização), selecione Hierarchy (Hierarquia) em vez de List (Lista).

  3. A árvore é exibida inicialmente mostrando a raiz, com apenas o primeiro nível de UOs e contas subordinadas exibido. Para expandir a árvore para mostrar níveis mais profundos, escolha o ícone de expansão ( )ao lado de qualquer entidade superior. Para reduzir a desorganização e recolher uma ramificação da árvore, escolha o ícone ( ) ao lado de uma entidade superior expandida.

  4. Escolha o nome de uma UO ou raiz para exibir seus detalhes e executar determinadas operações. Como alternativa, você pode escolher o botão ao lado do nome e executar determinadas operações nessa entidade no menu Actions (Ações).

Você também pode exibir a lista apenas das contas de sua organização em formato tabular, sem precisar primeiro navegar para uma UO para encontrá-las. Nesta exibição, você não pode ver nenhuma UO nem manipular as políticas anexadas a elas.

AWS Management Console

Para exibir a organização como uma lista simples de contas sem hierarquia

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Contas da AWS, na parte superior da seção Organization (Organização), escolha o ícone de comutador View Contas da AWS only (Visualizar apenas as Contas da AWS) para ativá-lo. .

  3. A lista de contas é exibida sem qualquer hierarquia.

Criar uma UO

Quando faz login na conta de gerenciamento de sua organização, você pode criar uma UO na raiz da organização. As UOs podem ser aninhadas em até cinco níveis de profundidade. Para criar uma UO, conclua as seguintes etapas.

Importante

Se esta organização for gerenciada com o AWS Control Tower, crie suas UOs com o console ou as APIs do AWS Control Tower. Se você criar a UO no Organizations, essa UO não é registrada com o AWS Control Tower. Para obter mais informações, consulte Referência a recursos fora do AWS Control Tower no Manual do usuário do AWS Control Tower.

Permissões mínimas

Para criar uma UO dentro de uma raiz em sua organização, você precisa ter as seguintes permissões:

  • organizations:DescribeOrganization – necessária somente ao usar o console do Organizations

  • organizations:CreateOrganizationalUnit

AWS Management Console

Para criar uma UO

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Navegue até o página Contas da AWS.

    O console exibe a UO-raiz e seu conteúdo. Na primeira vez em que você acessa uma raiz, o console exibe todas as suas Contas da AWS na visualização de nível superior. Se você criou s anteriormente e movimentou contas nelas, o console mostrará apenas as UOs de nível superior e as contas que ainda não foram movidas para uma UO.

  3. (Opcional) Se você desejar criar uma UO dentro de uma UO existente, navegue até a UO subordinada escolhendo o nome (não a caixa de seleção) da UO subordinada, ou escolhendo o ao lado das UOs na visualização em árvore até ver a que deseja e depois escolhendo seu nome.

  4. Quando você tiver selecionado a UO superior correta na hierarquia, no menu Actions (Ações), em Organizational Unit (Unidade Organizacional), escolha Create new (Criar nova)

  5. Na caixa de diálogo Create organizational unit (Criar unidade organizacional), insira o nome da UO que você deseja criar.

  6. (Opcional) Adicione uma ou mais tags escolhendo Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma UO.

  7. Por fim, selecione Create organizational unit (Criar unidade organizacional).

A nova UO aparece dentro do pai. Agora você pode mover contas para essa UO ou anexar políticas a ela.

AWS CLI & AWS SDKs

Para criar uma UO

Você pode usar um dos seguintes comandos para criar uma UO:

  • AWS CLI: create-organizational-unit

    Para criar uma UO, primeiro é preciso localizar a identidade da raiz ou a UO que você deseja como superior da nova UO.

    Para encontrar a identidade da raiz, use o comando list-roots. Para localizar a identidade de uma UO, use o comando list-children para navegar até a UO desejada.

    O exemplo a seguir mostra como localizar a identidade da raiz e, em seguida, encontrar a identidade de uma UO sob a raiz. O último comando mostra como criar uma nova UO na UO encontrada.

    $ aws organizations list-roots { "Roots": [ { "Id": "r-a1b2", "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2", "Name": "Root", "PolicyTypes": [] } ] } $ aws organizations list-children \ --parent-id r-a1b2 \ --child-type ORGANIZATIONAL_UNIT { "Children": [ { "Id": "ou-a1b2-f6g7h111", "Type": "ORGANIZATIONAL_UNIT" } ] } $ aws organizations create-organizational-unit \ --parent-id ou-a1b2-f6g7h111 \ --name New-Child-OU { "OrganizationalUnit": { "Id": "ou-a1b2-f6g7h222", "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222", "Name": "New-Child-OU" } }
  • AWS SDKs: CreateOrganizationalUnit

Renomear uma UO

Quando faz login na conta de gerenciamento de sua organização, você pode renomear uma UO. Para fazer isso, conclua as seguintes etapas.

Permissões mínimas

Para renomear uma UO dentro uma raiz em sua organização da AWS, você precisa ter as seguintes permissões:

  • organizations:DescribeOrganization – necessária somente ao usar o console do Organizations

  • organizations:UpdateOrganizationalUnit

AWS Management Console

Para renomear uma UO

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Contas da AWS, navegue até a UO que você quer renomear e execute uma das seguintes etapas:

    • Selecione o botão de opção ao lado da instância da UO que deseja renomear. Em seguida, no menu Actions (Ações), em Organizational unit (Unidade organizacional), escolha Rename (Renomear).

    • Escolha o nome da UO para acessar a página de detalhes da UO. Depois, na parte superior da página, escolha Rename (Renomear).

  3. Na caixa de diálogo Rename organizational unit (Renomear unidade organizacional), insira um novo nome e escolha Save changes (Salvar alterações).

AWS CLI & AWS SDKs

Para renomear uma UO

Você pode usar um dos seguintes comandos para renomear uma UO:

  • AWS CLI: update-organizational-unit

    O exemplo a seguir mostra como renomear uma UO.

    $ aws organizations update-organizational-unit \ --organizational-unit-id ou-a1b2-f6g7h222 \ --name "Renamed-OU" { "OrganizationalUnit": { "Id": "ou-a1b2-f6g7h222", "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222", "Name": "Renamed-OU" } }
  • AWS SDKs: UpdateOrganizationalUnit

Edição de tags anexadas a uma UO

Quando faz login na conta de gerenciamento da sua organização, você pode adicionar ou remover as tags anexadas a uma UO. Para fazer isso, conclua as seguintes etapas.

Permissões mínimas

Para editar as tags anexadas a uma UO dentro uma raiz em sua organização da AWS, você precisa ter as seguintes permissões:

  • organizations:DescribeOrganization – necessária somente ao usar o console do Organizations

  • organizations:DescribeOrganizationalUnit – necessária somente ao usar o console do Organizations

  • organizations:TagResource

  • organizations:UntagResource

AWS Management Console

Para editar de tags anexadas a uma UO

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Contas da AWS, navegue e escolha o nome da UO cujas tags você quer editar.

  3. Na página de detalhes da UO, escolha a guia Tags, depois escolha Manage tags (Gerenciar tags).

  4. Você pode executar qualquer uma das seguintes ações nesta guia:

    • Edite o valor de qualquer tag inserindo um novo valor sobre o antigo. Não é possível modificar a chave de tag. Para alterar uma chave, é preciso excluir a tag com a chave antiga e adicionar uma tag com a nova chave.

    • Remova uma tag existente escolhendo Remove (Remover) ao lado da tag que você deseja remover.

    • Adicione um novo par de chave e valor de tag. Escolha Add tag (Adicionar tag) e insira o novo nome da chave e o valor opcional nas caixas fornecidas. Se você deixar a caixa Value (Valor) vazia, o valor é uma sequência vazia, não é null.

  5. Escolha Save changes (Salvar alterações) depois de ter feito todas as adições, remoções e edições que deseja fazer.

AWS CLI & AWS SDKs

Para editar de tags anexadas a uma UO

Você pode usar um dos seguintes comandos para alterar as tags anexadas a uma UO:

  • AWS CLI: tag-resource e untag-resource

    O exemplo a seguir anexa tag "Department"="12345" a uma UO. Observe que Key e Value diferenciam entre maiúsculas e minúsculas.

    $ aws organizations tag-resource \ --resource-id ou-a1b2-f6g7h222 \ --tags Key=Department,Value=12345

    Esse comando não gera nenhuma saída quando é bem-sucedido.

    O exemplo a seguir remove a tag Department de uma UO.

    $ aws organizations untag-resource \ --resource-id ou-a1b2-f6g7h222 \ --tag-keys Department

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS SDKs: TagResource e UntagResource

Movimentação de contas para uma UO ou entre a raiz e as UOs

Quando faz login na conta de gerenciamento de sua organização, você pode mover as contas de sua organização da raiz para uma UO, de uma UO para outra ou de uma UO de volta para a raiz. Colocar uma conta dentro de uma UO a submete às políticas que estão anexadas à UO superior e às outras UOs na cadeia da superior até a raiz. Se a conta não estiver em uma UO, estará sujeita apenas às políticas que estão anexadas diretamente à raiz e a todas que estiverem anexadas diretamente à conta. Para mover contas, conclua as seguintes etapas.

Permissões mínimas

Para mover contas para um novo local na hierarquia da UO, você precisa ter as seguintes permissões:

  • organizations:DescribeOrganization – necessária somente ao usar o console do Organizations

  • organizations:MoveAccount

AWS Management Console

Para mover contas para uma UO

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Contas da AWS, encontre a conta ou as contas que você deseja mover. Você pode navegar na hierarquia da UO ou habilitar View Contas da AWS only (Exibir apenas Contas da AWS) para ver uma lista simples de contas sem a estrutura da UO. Se você tiver muitas contas, talvez seja necessário escolher Load more accounts in 'ou-name' (Carregar mais contas em ‘nome-uo’) no fim da lista para encontrar todas que você deseja mover.

  3. Escolha a caixa de seleção ao lado do nome de cada conta na que você deseja mover.

  4. No menu Ações (Actions), em Conta da AWS, escolha Move (Mover).

  5. Na caixa de diálogo MoveConta da AWS (Mover Conta da AWS), escolha a UO ou a raiz para a qual você quer mover a conta e escolha Move Conta da AWS (Mover Conta da AWS).

AWS CLI & AWS SDKs

Para mover uma conta para uma UO

Você pode usar um dos seguintes comandos para mover uma conta:

  • AWS CLI: move-account

    O exemplo a seguir remove a Conta da AWS de uma raiz para uma UO. Observe que é preciso especificar os IDs dos contêineres de origem e de destino.

    $ aws organizations move-account \ --account-id 111122223333 \ --source-parent-id r-a1b2 \ --destination-parent-id ou-a1b2-f6g7h111

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS SDKs: MoveAccount

Excluir UOs

Quando faz login na conta de gerenciamento de sua organização, você pode excluir UOs que não sejam mais necessárias.

Primeiro é preciso mover todas as contas para fora da UO e das UOs subordinadas, para depois poder excluir as UOs subordinadas.

Permissões mínimas

Para excluir uma UO, você precisa ter as seguintes permissões:

  • organizations:DescribeOrganization – necessária somente ao usar o console do Organizations

  • organizations:DeleteOrganizationalUnit

AWS Management Console

Para excluir uma UO

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Contas da AWS, encontre as UOs que você deseja excluir e escolha a caixa de seleção ao lado do nome de cada UO.

  3. Selecione Actions (Ações) e, em Organizational unit (Unidade organizacional), escolha Delete (Excluir).

  4. Para confirmar que deseja excluir as UOs, insira o nome da UO (se você optou por excluir apenas uma) ou a palavra 'delete (excluir)' (se você escolheu mais de uma) e, em seguida, escolha Delete (Excluir).

    O AWS Organizations exclui as UOs e remove-as da lista.

AWS CLI & AWS SDKs

Para excluir uma UO

Você pode usar um dos seguintes comandos para excluir uma UO:

  • AWS CLI: delete-organizational-unit

    O exemplo a seguir mostra como excluir uma UO.

    $ aws organizations delete-organizational-unit \ --organizational-unit-id ou-a1b2-f6g7h222

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS SDKs: DeleteOrganizationalUnit