Gerenciando permissões de acesso para uma organização com AWS Organizations - AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando permissões de acesso para uma organização com AWS Organizations

Todos os AWS recursos, incluindo raízesOUs, contas e políticas em uma organização, são de propriedade de um Conta da AWS, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões. No caso de uma organização, a conta de gerenciamento possui todos os recursos. Um administrador da conta pode controlar o acesso aos AWS recursos anexando políticas de permissões às IAM identidades (usuários, grupos e funções).

nota

O administrador de uma conta (ou o usuário administrador) é um usuário com permissões de administrador. Para obter mais informações, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.

Ao conceder permissões, você decide quem recebe as permissões, para quais recursos as permissões são concedidas e as ações específicas que você deseja permitir nesses recursos.

Por padrão, IAM usuários, grupos e funções não têm permissões. Como administrador na conta de gerenciamento de uma organização, você pode realizar tarefas administrativas ou delegar permissões de administrador a outros IAM usuários ou funções na conta de gerenciamento. Para fazer isso, você anexa uma política de IAM permissões a um IAM usuário, grupo ou função. Por padrão, um usuário não tem permissões; isso é às vezes chamado de uma negação implícita. A política substitui a negação implícita com uma permissão explícita que especifica quais ações o usuário pode executar e em quais recursos eles podem executar as ações. Se as permissões forem concedidas a uma função, essa função poderá ser assumida por usuários em outras contas na organização.

AWS Organizations recursos e operações

Esta seção discute como os AWS Organizations conceitos são mapeados para seus conceitos IAM equivalentes.

Recursos

Em AWS Organizations, você pode controlar o acesso aos seguintes recursos:

  • A raiz e o OUs que compõem a estrutura hierárquica de uma organização

  • As contas que são membros da organização.

  • As políticas que você anexa às entidades da organização

  • Os handshakes que você usa para alterar o estado da organização

Cada um desses recursos tem um nome de recurso exclusivo da Amazon (ARN) associado a ele. Você controla o acesso a um recurso especificando-o ARN no Resource elemento de uma política de IAM permissão. Para obter uma lista completa dos ARN formatos dos recursos usados em AWS Organizations, consulte Tipos de recursos definidos por AWS Organizations na Referência de Autorização de Serviço.

Operações

AWS fornece um conjunto de operações para trabalhar com os recursos em uma organização. Eles permitem executar tarefas, como criar, listar, modificar, acessar o conteúdo e excluir recursos. A maioria das operações pode ser referenciada no Action elemento de uma IAM política para controlar quem pode usar essa operação. Para obter uma lista de AWS Organizations operações que podem ser usadas como permissões em uma IAM política, consulte Ações definidas por organizações na Referência de Autorização de Serviço.

Ao combinar um Action e um Resource em uma única política de permissão Statement, você controla exatamente em quais recursos determinado conjunto de ações pode ser usado.

Chaves de condição

AWS fornece chaves de condição que você pode consultar para fornecer um controle mais granular sobre determinadas ações. Você pode referenciar essas chaves de condição no Condition elemento de uma IAM política para especificar as circunstâncias adicionais que devem ser atendidas para que a declaração seja considerada compatível.

As seguintes chaves de condição são especialmente úteis com AWS Organizations:

  • aws:PrincipalOrgID – Simplifica especificando o elemento Principal em uma política baseada em recursos. Essa chave global fornece uma alternativa para listar todas as contas IDs de todos Contas da AWS em uma organização. Em vez de listar todas as contas que são membros de uma organização, você pode especificar o ID da organização no elemento Condition.

    nota

    Essa condição global também se aplica a conta de gerenciamento de uma organização.

    Para obter mais informações, consulte a descrição das PrincipalOrgID chaves de contexto de condição AWS global no Guia IAM do usuário.

  • aws:PrincipalOrgPaths – Use essa chave de condição para corresponder membros de uma determinada raiz de organização, uma UO ou suas subordinadas. A chave de aws:PrincipalOrgPaths condição retorna verdadeira quando o principal (usuário raiz, IAM usuário ou função) que faz a solicitação está no caminho da organização especificado. Um caminho é uma representação em texto da estrutura de uma AWS Organizations entidade. Para obter mais informações sobre caminhos, consulte Compreender o caminho da AWS Organizations entidade no Guia IAM do usuário. Para obter mais informações sobre o uso dessa chave de condição, consulte aws: PrincipalOrgPaths no Guia IAM do usuário.

    Por exemplo, o elemento de condição a seguir corresponde aos membros de qualquer um dos dois OUs na mesma organização.

    "Condition": { "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/" ] } }
  • organizations:PolicyType— Você pode usar essa chave de condição para restringir as API operações relacionadas à política da Organizations para que funcionem somente nas políticas da Organizations do tipo especificado. É possível aplicar essa chave de condição a qualquer instrução de política que inclua uma ação que interaja com as políticas do Organizations.

    Você pode usar os seguintes valores com essa chave de condição:

    • SERVICE_CONTROL_POLICY

    • BACKUP_POLICY

    • TAG_POLICY

    • CHATBOT_POLICY

    • AISERVICES_OPT_OUT_POLICY

    Por exemplo, a política do exemplo a seguir permite que o usuário execute qualquer operação do Organizations. No entanto, se o usuário executar uma operação que usa um argumento de política, a operação só será permitida se a política especificada for uma política de marcação. A operação falha se o usuário especificar qualquer outro tipo de política.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies", "Effect": "Allow", "Action": "organizations:*", "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:PolicyType": [ "TAG_POLICY" ] } } } ] }
  • organizations:ServicePrincipal— Disponível como condição se você usar as operações E nableAWSService Access ou D isableAWSService Access para ativar ou desativar o acesso confiável com outros AWS serviços. Você pode usar o organizations:ServicePrincipal para restringir as solicitações feitas por essas operações para uma lista de nomes principais de serviços aprovados.

    Por exemplo, a política a seguir permite que o usuário especifique somente AWS Firewall Manager ao ativar e desativar o acesso confiável com AWS Organizations.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowOnlyAWSFirewallIntegration", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:ServicePrincipal": [ "fms.amazonaws.com" ] } } } ] }

Para obter uma lista de todas as chaves de condição AWS Organizations específicas que podem ser usadas como permissões em uma IAM política, consulte Chaves de condição AWS Organizations na Referência de Autorização de Serviço.

Informações sobre propriedade de recursos

Ele Conta da AWS possui os recursos criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário Conta da AWS do recurso é a entidade principal (ou seja, o usuário raiz, um IAM usuário ou uma IAM função) que autentica a solicitação de criação do recurso. Para uma organização, essa é sempre a conta de gerenciamento. Você não pode chamar a maioria das operações que criam ou acessam recursos da organização das contas dos membros. Os seguintes exemplos mostram como isso funciona:

  • Se você usar as credenciais da conta-raiz da sua conta de gerenciamento para criar uma UO, sua conta de gerenciamento será a proprietária do recurso. (Em AWS Organizations, o recurso é a OU).

  • Se você criar um IAM usuário em sua conta de gerenciamento e conceder permissões para criar uma OU para esse usuário, o usuário poderá criar uma OU. No entanto, a conta de gerenciamento à qual o usuário pertence é a proprietária do recurso da UO.

  • Se você criar uma IAM função em sua conta de gerenciamento com permissões para criar uma OU, qualquer pessoa que possa assumir a função poderá criar uma OU. A conta de gerenciamento, à qual pertence a função (não o usuário que assume a função), é a proprietária do recurso da UO.

Gerenciamento de acesso aos recursos

A política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação das políticas de permissões.

nota

Esta seção discute o uso IAM no contexto de AWS Organizations. Ele não fornece informações detalhadas sobre o IAM serviço. Para obter a IAM documentação completa, consulte o Guia IAM do usuário. Para obter informações sobre a sintaxe e as descrições das IAM políticas, consulte a referência da IAM JSON política no Guia do IAM usuário.

As políticas anexadas a uma IAM identidade são chamadas de políticas baseadas em identidade (IAMpolíticas). As políticas anexadas a um recurso são chamadas de políticas baseadas em recursos. AWS Organizations suporta somente políticas baseadas em identidade (IAMpolíticas).

Políticas de permissão baseadas em identidade (políticas do IAM)

Você pode anexar políticas às IAM identidades para permitir que essas identidades realizem operações em AWS recursos. Por exemplo, você pode fazer o seguinte:

  • Anexe uma política de permissões a um usuário ou grupo em sua conta — Para conceder a um usuário permissões para criar um AWS Organizations recurso, como uma política de controle de serviços (SCP) ou uma OU, você pode anexar uma política de permissões a um usuário ou grupo ao qual o usuário pertence. O usuário ou grupo deve estar na conta de gerenciamento da organização.

  • Anexar uma política de permissões a uma função (conceder permissões entre contas) — Você pode anexar uma política de permissões baseada em identidade a uma IAM função para conceder acesso entre contas a uma organização. Por exemplo, o administrador na conta de gerenciamento pode criar uma função para conceder permissões entre contas para um usuário da conta-membro, da seguinte forma:

    1. O administrador da conta de gerenciamento cria uma IAM função e anexa uma política de permissões à função que concede permissões aos recursos da organização.

    2. O administrador da conta de gerenciamento anexa uma política de confiança para a função que identifica o ID da conta do membro como Principal, que pode assumir a função.

    3. O administrador da conta do membro pode então delegar permissões para assumir a função a quaisquer usuários na conta do membro. Isso permite que os usuários na conta do membro criem ou acessem recursos na conta de gerenciamento e na organização. O diretor na política de confiança também pode ser um diretor de AWS serviço se você quiser conceder permissões a um AWS serviço para assumir a função.

    Para obter mais informações sobre IAM como delegar permissões, consulte Gerenciamento de acesso no Guia do IAM usuário.

A seguir estão exemplos de políticas que permitem ao usuário executar a ação CreateAccount na organização:

{ "Version":"2012-10-17", "Statement":[ { "Sid":"Stmt1OrgPermissions", "Effect":"Allow", "Action":[ "organizations:CreateAccount" ], "Resource":"*" } ] }

Você também pode fornecer uma parte ARN no Resource elemento da política para indicar o tipo de recurso.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowCreatingAccountsOnResource", "Effect":"Allow", "Action":"organizations:CreateAccount", "Resource":"arn:aws:organizations::*:account/*" } ] }

Você também pode negar a criação de contas que não incluam tags específicas para a conta que está sendo criada.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyCreatingAccountsOnResourceBasedOnTag", "Effect":"Deny", "Action":"organizations:CreateAccount", "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/key":"value" } } } ] }

Para obter mais informações sobre usuários, grupos, funções e permissões, consulte IAMidentidades (usuários, grupos de usuários e funções) no Guia do IAM usuário.

Políticas baseadas no recurso

Alguns serviços, como o Amazon S3, suportam políticas de permissões baseadas em recursos. Por exemplo, você pode anexar uma política a um bucket do Amazon S3 para gerenciar as permissões de acesso a esse bucket. AWS Organizations atualmente não oferece suporte a políticas baseadas em recursos.

Especificação de elementos da política: ações, condições, efeitos e recursos

Para cada AWS Organizations recurso, o serviço define um conjunto de API operações ou ações que podem interagir ou manipular esse recurso de alguma forma. Para conceder permissões para essas operações, AWS Organizations define um conjunto de ações que você pode especificar em uma política. Por exemplo, para o recurso OU, AWS Organizations define ações como as seguintes:

  • AttachPolicy e DetachPolicy

  • CreateOrganizationalUnit e DeleteOrganizationalUnit

  • ListOrganizationalUnits e DescribeOrganizationalUnit

Em alguns casos, a execução de uma API operação pode exigir permissões para mais de uma ação e pode exigir permissões para mais de um recurso.

A seguir estão os elementos mais básicos que você pode usar em uma política de IAM permissão:

  • Action (Ação) – Use essa palavra-chave para identificar as operações (ações) que deseja permitir ou negar. Por exemplo, dependendo do especificadoEffect, organizations:CreateAccount permite ou nega ao usuário permissões para realizar a AWS Organizations CreateAccount operação. Para obter mais informações, consulte Elementos da IAM JSON política: Ação no Guia IAM do Usuário.

  • Recurso — Use essa palavra-chave para especificar o ARN recurso ao qual a declaração de política se aplica. Para obter mais informações, consulte elementos IAM JSON da política: Recurso no Guia IAM do usuário.

  • Condition (Condição) – Use essa palavra-chave para especificar uma condição que deve ser atendida para que a instrução da política seja aplicável. Condition normalmente especifica circunstâncias adicionais que devem ser atendidas para que a política seja uma correspondência. Para obter mais informações, consulte elementos IAM JSON da política: Condição no Guia IAM do usuário.

  • Effect (Efeito) – Use essa palavra-chave para especificar se a instrução da política permite ou nega a ação no recurso. Se você não conceder (ou permitir) explicitamente o acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente acesso a um recurso, o que pode fazer para garantir que o usuário não execute a ação especificada no recurso especificado, mesmo se uma política diferente conceder acesso. Para obter mais informações, consulte Elementos IAM JSON da política: Efeito no Guia IAM do Usuário.

  • Principal — Em políticas baseadas em identidade (IAMpolíticas), o usuário ao qual a política está vinculada é automática e implicitamente o principal. Para políticas baseadas em recursos, você especifica o usuário, a conta, o serviço ou outra entidade que deseja receber permissões (aplica-se somente às políticas baseadas em recursos). AWS Organizations atualmente suporta somente políticas baseadas em identidade, não políticas baseadas em recursos.

Para saber mais sobre a sintaxe e as descrições das IAM políticas, consulte a referência da IAM JSON política no Guia do IAM usuário.