Tutorial: Criar e configurar uma organização - AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tutorial: Criar e configurar uma organização

Neste tutorial, você cria sua organização e configurá-lo com duas contas-membro da AWS. Você cria uma das contas-membro em sua organização e convida outras contas para a inscrição da sua organização. Depois, use oLista de permissõesPara especificar que os administradores podem delegar apenas os serviços e ações listados explicitamente. Isso permite que os administradores validem qualquer novo serviço apresentado pela AWS antes de permitir o seu uso por outra pessoa em sua empresa. Dessa forma, se a AWS apresentar um novo serviço, ele permanecerá proibido até que um administrador adicione o serviço à lista de permissões na política adequada. O tutorial também mostra como usar umNegar listaPara garantir que nenhum usuário em uma conta-membro possa alterar a configuração dos logs de auditoria queAWS CloudTrailCria.

A seguinte ilustração mostra as etapas principais do tutorial.

Etapa 1: Crie sua organização

Nesta etapa, você cria uma organização com sua Conta da AWS como a conta de gerenciamento. Você também convida um Conta da AWS Para participar da sua organização e você cria uma segunda conta como uma conta-membro.

Etapa 2: Crie as unidades organizacionais

Em seguida, você cria duas unidades organizacionais (UOs) na sua nova organização e coloca a conta-membro nestas UOs.

Etapa 3: Criar as políticas de controle de serviço

É possível aplicar restrições às ações que podem ser delegadas para usuários e funções nas contas-membro usando políticas de controle de serviço (SCPs). Nesta etapa, você cria duas SCPs e anexa-as às UOs de sua organização.

Etapa 4: Testar as políticas da sua organização

Você pode fazer login como usuários de cada uma das contas de teste e ver os efeitos que as SCPs têm sobre as contas.

Nenhuma das etapas deste tutorial incorrem em custos em sua fatura da AWS. O AWS Organizations é um serviço gratuito.

Prerequisites

Este tutorial pressupõe que você tem acesso a dois Contas da AWS (Você cria uma terceira como parte deste tutorial) e assim pode efetuar login em cada um como um administrador.

O tutorial refere-se às contas como o seguinte:

  • 111111111111— a conta que você usa para criar a organização. Esta conta torna-se a conta de gerenciamento. O proprietário desta conta tem um endereço de e-mail do OrgAccount111@example.com.

  • 222222222222— uma conta que você convida para participar da organização como uma conta de membro. O proprietário desta conta tem um endereço de e-mail do member222@example.com.

  • 333333333333— uma conta que você cria como um membro da organização. O proprietário desta conta tem um endereço de e-mail do member333@example.com.

Substitua os valores acima pelos valores associados às suas contas de teste. Recomendamos não usar contas de produção para este tutorial.

Etapa 1: Crie sua organização

Nesta etapa, você entra na conta 11111111111111 como administrador, cria uma organização com essa conta como a conta de gerenciamento e convida uma conta existente, 222222222222, para participar como uma conta-membro.

AWS Management Console
  1. Faça login noAWSComo administrador da conta 111111111111 e abra oAWS Organizationsconsole.

  2. Na página de introdução, selecioneCriar uma organização.

  3. Na caixa de diálogo de confirmação, escolha oCriar uma organização.

    nota

    Por padrão, a organização é criada com todos os recursos habilitados. Você também pode criar a organização apenas com recursos de faturamento consolidado habilitados.

    AWScria a organização e mostra o Contas da AWS . Se você estiver em uma página diferente, escolha Contas da AWS No painel de navegação à esquerda.

    Se a conta que você usa nunca teve seu endereço de e-mail verificado peloAWSUm e-mail de verificação é enviado automaticamente para o endereço associado à sua conta de gerenciamento. Talvez haja um atraso até você receber o e-mail de verificação.

  4. Verifique o endereço de e-mail em 24 horas. Para mais informações, consulte Verificação do endereço de e-mail.

Você agora tem uma organização que tem sua conta como o único membro. Esta é a conta de gestão da organização.

Convide uma conta atual para participar da sua organização

Agora que você tem uma organização, você pode começar a preenchê-la com contas. Nas etapas nesta seção, você convida uma conta existente para participar e se tornar um membro da sua organização.

AWS Management Console

Para convidar uma conta existente para participar

  1. Navegue até o . Contas da AWS e escolhaAdicionar um Conta da AWS .

  2. NoAdicionar um Conta da AWS , escolhaConvidar um Conta da AWS .

  3. Na caixaEndereço de e-mail ou ID da conta de um Conta da AWS ConvidarDigite o endereço de e-mail do proprietário da conta que você deseja convidar, semelhante ao seguinte: member222@example.com. Alternativamente, se você souber o Conta da AWS Número de identificação, então você pode inseri-lo em vez disso.

  4. Digite o texto que você deseja na caixaMensagem a ser incluída na mensagem de e-mail do convite(Criar snapshot final?). Esse texto é incluído no e-mail que é enviado para o proprietário da conta.

  5. SelecioneEnviar convite.AWS OrganizationsO envia o convite para o proprietário da conta.

    Importante

    Se você receber um erro que indica que excedeu seus limites de conta para a organização ou que não pode adicionar uma conta porque sua organização ainda está inicializando, aguarde uma hora depois de criar a organização e tente novamente. Se o erro persistir, entre em contato com o AWS Support.

  6. Para os fins deste tutorial, você agora precisa aceitar seu próprio convite. Execute uma das seguintes ações para acessar a página Convites no console:

    • Abra o e-mail queAWSEnviado pela conta de gerenciamento e clique no link para aceitar o convite. Quando solicitado a fazer login, faça isso como um administrador na conta-membro convidada.

    • Abrir oAWS OrganizationsconsoleE navegue até o.Convites.

  7. No Contas da AWS , escolhaAceitare, depois, escolhaConfirmar.

  8. Saia da sua conta-membro e faça login novamente como um administrador na sua conta-gerenciamento.

Crie uma conta-membro

Nas etapas nesta seção, você cria um Conta da AWS que é automaticamente um membro da organização. Referimos a esta conta no tutorial como 3333333333.

AWS Management Console

Para criar uma conta-membro

  1. NoAWS Organizations, na guia do Contas da AWS , escolhaAdicionar Conta da AWS .

  2. NoAdicionar um Conta da AWS , escolhaCriar um Conta da AWS .

  3. para o Conta da AWS nome doDigite um nome para a conta, comoMainApp Account.

  4. para oEndereço de e-mail do usuário raiz da contaDigite o endereço de e-mail do usuário que está para receber comunicações em nome da conta. Esse valor deve ser exclusivo globalmente. Não é possível que duas contas tenham o mesmo endereço de e-mail. Por exemplo, convém usar algo como mainapp@example.com.

  5. Para Nome da função do IAM, você pode deixar isso em branco para usar automaticamente o nome da função padrão do OrganizationAccountAccessRole ou você pode fornecer o seu próprio nome. Essa função permite acessar a nova conta-membro quando conectado como um usuário do IAM na conta de gerenciamento. Para este tutorial, deixe em branco para instruir o AWS Organizations a criar a função com o nome padrão.

  6. Escolha Create Conta da AWS (Criar). Você pode precisar esperar um pouco e atualizar a página para ver se a nova conta aparece na guia Contas da AWS .

    Importante

    Se você receber um erro que indica que excedeu seus limites de conta para a organização ou que não pode adicionar uma conta porque sua organização ainda está inicializando, aguarde uma hora depois de criar a organização e tente novamente. Se o erro persistir, entre em contato com o AWS Support.

Etapa 2: Crie as unidades organizacionais

Nas etapas desta seção, você cria unidades organizacionais (UOs) e coloca suas contas-membro. Quando concluir, sua hierarquia será semelhante à ilustração a seguir. A conta de gerenciamento permanece na raiz. Uma conta-membro é movida para a UO de produção e a outra é movida para a UO MainApp, que é um filho de produção.

AWS Management Console

Para criar e preencher as UOs

nota

Nas etapas a seguir, você interage com objetos para os quais pode escolher o nome do próprio objeto ou o botão de opção ao lado do objeto.

  • Se você escolher o nome do objeto, abra uma nova página que exibe os detalhes dos objetos.

  • Se você escolher o botão de opção ao lado do objeto, estará identificando esse objeto para ser atuado por outra ação, como escolher uma opção de menu.

As etapas a seguir fazem com que você escolha o botão de opção para que você possa agir sobre o objeto associado fazendo escolhas de menu.

  1. NoAWS OrganizationsconsoleNavegue até o. Contas da AWS .

  2. Certifique-se de que o comutadorExibir Contas da AWS Somenteé giradoDESL .

  3. Escolha a caixa de seleção Ao lado doRaizContêiner.

  4. NoCrianças, escolhaAçõese, depois, emUnidade Organizacional, escolhaCriar.

  5. NoCriar unidade organizacional no Raiz, para oNome da unidade organizacional, insiraProductione, depois, escolhaCriar unidade organizacional.

  6. Escolha a caixa de seleção Ao lado do seuProduçãoUO.

  7. SelecioneAçõese, depois, emUnidade Organizacional, escolhaCriar.

  8. NoCriar unidade organizacional em ProduçãoPara o nome da segunda UO, digiteMainAppe, depois, escolhaCriar unidade organizacional.

    Agora você pode mover suas contas-membro para essas UOs.

  9. Retorne para o Contas da AWS e, em seguida, expanda a árvore sob o seuProduçãoOU escolhendo o triângulo ao lado dele.

    Isso exibe oMainAppUO como filho deProdução.

  10. Escolha a caixa de seleção , não seu nome), escolhaAçõese, depois, em Conta da AWS , escolhaMover.

  11. NoMover Conta da AWS 'membro-conta-nome-membro'Escolha o botão de opção , não o seu nome) e, em seguida, escolhaMover Conta da AWS .

  12. Escolha a caixa de seleção , não seu nome), escolhaAçõese, depois, em Conta da AWS , escolhaMover.

  13. NoMover Conta da AWS 'membro-conta-nome-membro', o triângulo ao lado deProduçãopara expandir essa ramificação e exporMainApp.

  14. Escolha o botão de opção , não o seu nome) e, em seguida, sob Conta da AWS , escolhaMover Conta da AWS .

Etapa 3: Criar as políticas de controle de serviço

Nas etapas desta seção, você cria três políticas de controle de serviço (SCPs) e anexa-as à raiz e às UOs para restringir o que os usuários podem fazer nas contas da organização. A primeira SCP impede que qualquer pessoa em qualquer uma das contas-membro crie ou modifique quaisquer logs do AWS CloudTrail que você configurar. A conta de gerenciamento não é afetada por qualquer SCP, portanto, depois de aplicar a SCP do CloudTrail, você deve criar todos os logs da conta de gerenciamento.

Ative o tipo de política de controle de serviço para a organização

Para poder anexar uma política de qualquer tipo a uma raiz ou a qualquer UO em uma raiz, você deve ativar o tipo de política para a organização. Por padrão, os tipos de política não são habilitados. As etapas desta seção mostram como habilitar o tipo de política de controle de serviço (SCP) para sua organização.

AWS Management Console

Para habilitar SCPs para sua organização

  1. Navegue até o .Políticase, em seguida, escolhaPolíticas de controle de serviço.

  2. NoPolíticas de controle de serviço, escolhaAtive políticas de controle de serviço.

    Um banner verde aparece para informá-lo de que agora você pode criar SCPs em sua organização.

Crie seus SCPs

Agora que as políticas de controle de serviço estão habilitadas em sua organização, você pode criar as três políticas necessárias para este tutorial.

AWS Management Console

Para criar o primeira SCP que bloqueia as ações de configuração do CloudTrail

  1. Navegue até o .Políticase, em seguida, escolhaPolíticas de controle de serviço.

  2. Na página Service control policies (Políticas de controle de serviço), escolha Create policy (Criar política).

    nota

    O editor de políticas de controle de serviço está disponível no momento somente na versão original doAWS Organizationsconsole do . Ao concluir as edições, você retornará automaticamente à nova versão do console.

  3. Em Nome da política, insira Block CloudTrail Configuration Actions.

  4. NoPolíticaNa lista de serviços à esquerda, selecione CloudTrail para o serviço. Em seguida, escolha as seguintes ações: AddTags,CreateTrail,DeleteTrail,RemoveTags,StartLogging,StopLogging, eUpdateTrail.

  5. Ainda no painel esquerdo, selecioneAdicionar recursoe especifiqueCloudTraileTodos os recursos. Escolha Add resource (Adicionar recurso).

    A instrução de política à direita é atualizada para ser semelhante ao seguinte.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1234567890123", "Effect": "Deny", "Action": [ "cloudtrail:AddTags", "cloudtrail:CreateTrail", "cloudtrail:DeleteTrail", "cloudtrail:RemoveTags", "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": [ "*" ] } ] }
  6. Escolha Create policy (Criar política).

A segunda política define uma lista de permissões de todos os serviços e ações que você deseja habilitar para usuários e funções na UO de produção. Depois de você concluir, os usuários na UO de produção poderão acessar apenas os serviços e ações listados.

AWS Management Console

Como criar a segunda política que permite serviços aprovados para a UO de produção

  1. DoPolíticas de controle de serviço, escolhaCriar política.

  2. Em Nome da política, insira Allow List for All Approved Services.

  3. Posicione o cursor no painel à direita da seção Policy (Política) e cole uma política como a seguinte.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1111111111111", "Effect": "Allow", "Action": [ "ec2:*", "elasticloadbalancing:*", "codecommit:*", "cloudtrail:*", "codedeploy:*" ], "Resource": [ "*" ] } ] }
  4. Escolha Create policy (Criar política).

A política final fornece uma lista de negações de serviços que são bloqueados para uso na UO MainApp. Para este tutorial, você bloqueia o acesso ao Amazon DynamoDB em todas as contas que estão naMainAppUO.

AWS Management Console

Como criar a terceira política que nega o acesso a serviços que não podem ser usados na UO MainApp

  1. DoPolíticas de controle de serviço, escolhaCriar política.

  2. Em Nome da política, insira Deny List for MainApp Prohibited Services.

  3. NoPolíticaÀ esquerda, selecioneAmazon DynamoDBPara o serviço. Para a ação, escolha All actions (Todas as ações).

  4. Ainda no painel esquerdo, selecioneAdicionar recursoe especifiqueDynamoDBeTodos os recursos. Escolha Add resource (Adicionar recurso).

    A instrução de política à direita é atualizada para ser semelhante ao seguinte.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "dynamodb:*" ], "Resource": [ "*" ] } ] }
  5. Escolha Create policy (Criar política) para salvar a SCP.

Anexe as SCPs às suas UOs

Agora que as SCPs existem e estão habilitadas para a raiz, você pode anexá-las para a raiz e UO.

AWS Management Console

Para anexar as políticas à raiz e às UOs

  1. Navegue até o página Contas da AWS .

  2. No Contas da AWS , escolhaRaiz(seu nome, não o botão de opção) para navegar até sua página de detalhes.

  3. NoRaizNa página de detalhes, escolha a opçãoPolíticase, em seguida, emPolíticas de controle de serviço, escolhaAnexar.

  4. NoAnexe uma política de controle de serviçoEscolha o botão de seleção ao lado do SCP chamadoBlock CloudTrail Configuration Actionse, depois, escolhaAnexar. Neste tutorial, você anexa-o à raiz para que afete todas as contas-membro para impedir que alguém altere sua configuração do CloudTrail.

    ORaizPágina de detalhes,PolíticasAgora, o mostra que duas SCPs são anexadas à raiz: o que você acabou de anexar e o padrãoFullAWSAccessSCPS.

  5. Navegue novamente para o. Contas da AWS e escolha a opçãoProduçãoOU (é o nome, não o botão de opção) para navegar até a página de detalhes.

  6. NoProduçãoNa UO details, escolha a opçãoPolíticasGuia.

  7. UnderPolíticas de controle de serviço, escolhaAnexar.

  8. NoAnexe uma política de controle de serviçoEscolha o botão de opção ao lado deAllow List for All Approved Servicese, depois, escolhaAnexar. Isso permite que usuários ou funções em contas de membro noProduçãoUO para acessar os serviços aprovados.

  9. Selecione oPolíticasPara ver se duas SCPs são anexadas à UO: o que você acabou de anexar e o padrãoFullAWSAccessSCPS. No entanto, porque oFullAWSAccessO SCP também é uma lista de permissões que permite todos os serviços e ações, você deve agora desanexar esse SCP para garantir que apenas os serviços aprovados são permitidos.

  10. Para remover a política padrão daProduçãoOU, escolha o botão de opção paraFullAWSAccess, escolhaDesconectarEm seguida, na caixa de diálogo de confirmação, escolha oDesanexar política.

    Depois de remover esta política predefinida, todas as contas de membro sob aProduçãoUO perdem imediatamente o acesso a todas as ações e serviços que não estão na SCP da lista de permissões anexada nas etapas anteriores. Todas as solicitações para usar ações que não estão incluídas na SCP Allow List for All Approved Services (Lista de permissões para todos os serviços aprovados) são negadas. Isso é válido mesmo se um administrador em uma conta conceder acesso a outro serviço anexando uma política de permissões do IAM a um usuário em uma das contas-membro.

  11. Agora você pode anexar a SCP chamada Deny List for MainApp Prohibited services para impedir que qualquer pessoa nas contas na UO do MainApp de usar quaisquer serviços restritos.

    Para fazer isso, navegue até o. Contas da AWS , escolha o ícone do triângulo para expandir oProduçãoA ramificação da UO e, em seguida, escolha aMainAppUO (é o nome, não o botão de opção) para navegar para seu conteúdo.

  12. NoMainAppNa página de detalhes, escolha a opçãoPolíticasGuia.

  13. UnderPolíticas de controle de serviço, escolha Anexar e, na lista de políticas disponíveis, escolha o botão de opção ao lado deLista de negação para serviços proibiMainAppe, depois, escolhaAnexar política.

Etapa 4: Testar as políticas da sua organização

Agora você pode fazer login como um usuário em qualquer uma das contas-membro e tentar executar várias ações da AWS:

  • Se fizer login como um usuário na conta de gerenciamento, você poderá executar qualquer operação permitida por suas políticas de permissões do IAM. Os SCPs não afetam qualquer usuário ou função na conta de gerenciamento, não importa em qual raiz ou OU a conta está localizada.

  • Se fizer login como o usuário raiz ou um usuário IAM na conta 22222222222222, você poderá executar qualquer ação permitida pela lista de permissões.AWS OrganizationsO nega qualquer tentativa de executar uma ação em qualquer serviço que não está na lista de permissões. Além disso,AWS OrganizationsO nega qualquer tentativa de executar uma das ações de configuração do CloudTrail.

  • Se fizer login como um usuário na conta 33333333333333, você pode executar qualquer ação não permitida pela lista de permissões e não bloqueadas pela lista de negações.AWS OrganizationsO nega qualquer tentativa de executar uma ação que não está na política de lista de permissões e qualquer ação na política de lista de negações. Além disso,AWS OrganizationsO nega qualquer tentativa de executar uma das ações de configuração do CloudTrail.