Tutorial: criar e configurar uma organização - AWS Organizations

Tutorial: criar e configurar uma organização

Neste tutorial, você cria sua organização e configurá-lo com duas contas-membro da AWS. Você cria uma das contas-membro em sua organização e convida outras contas para a inscrição da sua organização. Depois, você usará a técnica de lista de permissões para especificar que os administradores da conta só podem delegar os serviços e ações listados explicitamente. Isso permite que os administradores validem qualquer novo serviço apresentado pela AWS antes de permitir o seu uso por outra pessoa em sua empresa. Dessa forma, se a AWS apresentar um novo serviço, ele permanecerá proibido até que um administrador adicione o serviço à lista de permissões na política adequada. O tutorial também mostra como usar a lista de negações para garantir que nenhum usuário em uma conta-membro possa alterar a configuração dos logs de auditoria criados pelo AWS CloudTrail.

A seguinte ilustração mostra as etapas principais do tutorial.

Etapa 1: criar sua organização

Nesta etapa, você cria uma organização com sua Conta da AWS atual como a conta de gerenciamento. Você também pode convidar uma Conta da AWS para participar da sua organização e criar uma segunda conta como uma conta-membro.

Etapa 2: criar as unidades organizacionais

Em seguida, você cria duas unidades organizacionais (UOs) na sua nova organização e coloca a conta-membro nestas UOs.

Etapa 3: criar as políticas de controle de serviço

É possível aplicar restrições às ações que podem ser delegadas para usuários e funções nas contas-membro usando políticas de controle de serviço (SCPs). Nesta etapa, você cria duas SCPs e anexa-as às UOs de sua organização.

Etapa 4: testar suas políticas da organização

Você pode fazer login como usuários de cada uma das contas de teste e ver os efeitos que as SCPs têm sobre as contas.

Nenhuma das etapas deste tutorial incorrem em custos em sua fatura da AWS. O AWS Organizations é um serviço gratuito.

Prerequisites

Este tutorial pressupõe que você tenha acesso e possa fazer login em duas Contas da AWS existentes (você cria uma terceira como parte deste tutorial) e que possa fazer login em ambas como administrador.

O tutorial refere-se às contas como o seguinte:

  • 111111111111 – A conta que você usa para criar a organização. Esta conta torna-se a conta de gerenciamento. O proprietário desta conta tem um endereço de e-mail do OrgAccount111@example.com.

  • 222222222222 – Uma conta que você convida para participar da organização como conta-membro. O proprietário desta conta tem um endereço de e-mail do member222@example.com.

  • 333333333333 – Uma conta que você cria como um membro da organização. O proprietário desta conta tem um endereço de e-mail do member333@example.com.

Substitua os valores acima pelos valores associados às suas contas de teste. Recomendamos não usar contas de produção para este tutorial.

Etapa 1: criar sua organização

Nesta etapa, você faz login na conta 111111111111 como administrador, cria uma organização com essa conta como conta de gerenciamento e convida uma conta existente, 222222222222, para participar como uma conta-membro.

AWS Management Console
  1. Faça login no AWS como administrador na conta 111111111111 e abra o console do AWS Organizations.

  2. Na página de introdução, escolha Create an organization (Criar uma organização).

  3. Na caixa de diálogo de confirmação, escolha Create Organization (Criar uma organização).

    nota

    Por padrão, a organização é criada com todos os recursos habilitados. Você também pode criar a organização apenas com recursos de faturamento consolidado habilitados.

    A AWS cria a organização e exibe a página Contas da AWS para você. Se você estiver em uma página diferente, escolha Contas da AWS no painel de navegação à esquerda.

    Se a conta que você usa nunca teve seu endereço de e-mail verificado pela AWS, um e-mail de verificação é enviado automaticamente para o endereço associado à sua conta de gerenciamento. Talvez haja um atraso até você receber o e-mail de verificação.

  4. Verifique o endereço de e-mail em 24 horas. Para obter mais informações, consulte Verificação do endereço de e-mail.

Você agora tem uma organização que tem sua conta como o único membro. Esta é a conta de gerenciamento da organização.

Convide uma conta atual para participar da sua organização

Agora que você tem uma organização, você pode começar a preenchê-la com contas. Nas etapas nesta seção, você convida uma conta existente para participar e se tornar um membro da sua organização.

AWS Management Console

Para convidar uma conta existente para participar

  1. ¬Navegue até a página Contas da AWS e escolha Add an Conta da AWS (Adicionar uma conta da AWS).

  2. Na página Add an Conta da AWS (Adicionar uma conta da AWS), escolha Invite an existing Conta da AWS (Convidar uma conta da AWS existente).

  3. Na caixa Email address or account ID of an Conta da AWS to invite (Endereço de e-mail ou ID de uma conta da AWS a ser convidada), insira o endereço de e-mail do proprietário da conta que você deseja convidar, semelhante ao seguinte: member222@example.com. Alternativamente, se souber o número do ID da Conta da AWS , você pode inseri-lo em vez disso.

  4. Digite o texto que você deseja na caixa Message to include in the invitation email message (Mensagem a ser incluída na mensagem de e-mail do convite). Esse texto é incluído no e-mail que é enviado para o proprietário da conta.

  5. Escolha Send invitation (Enviar convite). A AWS Organizations envia o convite para o proprietário da conta.

    Importante

    Se você receber um erro que indica que excedeu seus limites de conta para a organização ou que não pode adicionar uma conta porque sua organização ainda está inicializando, aguarde uma hora depois de criar a organização e tente novamente. Se o erro persistir, entre em contato com o AWS Support.

  6. Para os fins deste tutorial, você agora precisa aceitar seu próprio convite. Execute uma das seguintes ações para acessar a página Convites no console:

    • Abra o e-mail enviado pela AWS da conta de gerenciamento e escolha o link para aceitar o convite. Quando solicitado a fazer login, faça isso como um administrador na conta-membro convidada.

    • Abra o console do AWS Organizations e navegue até a página de Invitations (Convites).

  7. Na página Contas da AWS , escolha Accept (Aceitar) e depois Confirm (Confirmar).

  8. Saia da sua conta-membro e faça login novamente como um administrador na sua conta de gerenciamento.

Crie uma conta-membro

Nas etapas desta seção, você cria uma Conta da AWS que é automaticamente um membro da organização. Chamamos essa conta no tutorial de 333333333333.

AWS Management Console

Para criar uma conta-membro

  1. No console do AWS Organizations, na página Contas da AWS , escolha Add Conta da AWS (Adicionar conta da AWS).

  2. Na página Add an Conta da AWS (Adicionar uma conta da AWS), escolha Create an Conta da AWS (Criar uma conta da AWS).

  3. Em Conta da AWS name (Nome da conta da AWS), insira um nome para a conta, como MainApp Account.

  4. Em Email address of the account's root user (Endereço de e-mail do usuário da conta-raiz), digite o endereço de e-mail da pessoa que deve receber comunicações em nome da conta. Esse valor deve ser exclusivo globalmente. Não é possível que duas contas tenham o mesmo endereço de e-mail. Por exemplo, convém usar algo como mainapp@example.com.

  5. Para Nome da função do IAM, você pode deixar isso em branco para usar automaticamente o nome da função padrão do OrganizationAccountAccessRole ou você pode fornecer o seu próprio nome. Essa função permite acessar a nova conta-membro quando conectado como um usuário do IAM na conta de gerenciamento. Para este tutorial, deixe em branco para instruir o AWS Organizations a criar a função com o nome padrão.

  6. Escolha Create Conta da AWS (Criar conta da AWS). Você pode precisar esperar um pouco e, ao mesmo tempo, atualizar a página para a nova conta aparecer na página Contas da AWS .

    Importante

    Se você receber um erro que indica que excedeu seus limites de conta para a organização ou que não pode adicionar uma conta porque sua organização ainda está inicializando, aguarde uma hora depois de criar a organização e tente novamente. Se o erro persistir, entre em contato com o AWS Support.

Etapa 2: criar as unidades organizacionais

Nas etapas desta seção, você cria unidades organizacionais (UOs) e coloca suas contas-membro. Quando terminar, a hierarquia será semelhante à seguinte ilustração. A conta de gerenciamento permanece na raiz. Uma conta-membro é movida para a UO de produção e a outra é movida para a UO MainApp, que é um filho de produção.

AWS Management Console

Para criar e preencher as UOs

nota

Nas etapas a seguir, você interage com objetos para os quais pode escolher o nome do próprio objeto ou o botão de opção ao lado do objeto.

  • Se escolher o nome do objeto, você abre uma nova página que exibe os detalhes dos objetos.

  • Se escolher o botão de opção ao lado do objeto, você estará identificando esse objeto para ser objeto de outra ação, como escolher uma opção de menu.

As etapas a seguir fazem com que você escolha o botão de opção para que possa agir sobre o objeto associado fazendo escolhas de menu.

  1. No console do AWS Organizations, navegue até a página Contas da AWS .

  2. Certifique-se de que o comutador View Contas da AWS only (Visualizar apenas as contas da AWS) esteja desligado .

  3. Escolha a caixa de seleção ao lado do contêiner Raiz.

  4. Na guia Children (Subordinadas), escolha Actions (Ações) e, depois, em Organizational unit (Unidade organizacional), escolha Create new (Criar nova).

  5. Na página Create organizational unit in Root (Criar unidade organizacional na raiz), para o Create organizational unit in Root (Nome da unidade organizacional), insira Production e, depois, escolha Create organizational unit (Criar unidade organizacional).

  6. Escolha a caixa de seleção ao lado da nova UO de Produção.

  7. Selecione Actions (Ações), depois, em Organizational unit (Unidade organizacional), escolha Create new (Criar nova).

  8. Na página Create organizational unit in Root (Criar unidade organizacional na raiz), para o nome da segunda UO, insira MainApp e, depois, escolha Create organizational unit (Criar unidade organizacional).

    Agora você pode mover suas contas-membro para essas UOs.

  9. Retorne para a página Contas da AWS e expanda a árvore em sua UO Produção, escolhendo o triângulo ao lado dela.

    Isso exibe a UO MainApp como subordinada de Produção.

  10. Escolha a caixa de seleção , não seu nome, escolha Actions (Ações), depois, em Conta da AWS , escolha Move (Mover).

  11. Na página Mover Conta da AWS 'member-account-name' (Mover conta da AWS 'member-account-name', escolha o botão de seleção , não seu nome, e, em seguida, escolha Move Conta da AWS (Mover conta da AWS).

  12. Escolha a caixa de seleção , não seu nome, escolha Actions (Ações), depois, em Conta da AWS , escolha Move (Mover).

  13. Na caixa de diálogo Move Conta da AWS 'member-account-name' (Mover 'member-account-name', escolha o triângulo ao lado de Produção para expandir essa ramificação e mostrar MainApp.

  14. Escolha o botão de opção , não o seu nome, e, em Conta da AWS , escolha Move Conta da AWS (Mover conta da AWS).

Etapa 3: criar as políticas de controle de serviço

Nas etapas desta seção, você cria três políticas de controle de serviço (SCPs) e anexa-as à raiz e às UOs para restringir o que os usuários podem fazer nas contas da organização. A primeira SCP impede que qualquer pessoa em qualquer uma das contas-membro crie ou modifique quaisquer logs do AWS CloudTrail que você configurar. A conta de gerenciamento não é afetada por qualquer SCP, portanto, depois de aplicar a SCP do CloudTrail, você deve criar todos os logs na conta de gerenciamento.

Habilitar o tipo de política de controle de serviço para a organização

Para poder anexar uma política de qualquer tipo a uma raiz ou a qualquer O em uma raiz, você deve habilitar o tipo de política para a organização. Os tipos de política não estão habilitados por padrão. As etapas desta seção mostram como habilitar o tipo de política de controle de serviço (SCP) para sua organização.

AWS Management Console

Para habilitar SCPs para a organização

  1. Navegue até a página Policies (Políticas) e escolha Service Control Policies (Políticas de controle de serviço).

  2. Na página Service Control Policies (Políticas de controle de serviço), escolha Enable service control policies (Ativar políticas de controle de serviço).

    Um banner verde é exibido para informar que agora você pode criar SCPs em sua organização.

Criar suas SCPs

Agora que as políticas de controle de serviço estão habilitadas em sua organização, você pode criar as três políticas necessárias para este tutorial.

AWS Management Console

Para criar a primeira SCP que bloqueia as ações de configuração do CloudTrail

  1. Navegue até a página Policies (Políticas) e escolha Service Control Policies (Políticas de controle de serviço).

  2. Na página Service control policies (Políticas de controle de serviço), escolha Create policy (Criar política).

    nota

    O editor de políticas de controle de serviço está disponível no momento somente na versão original do console do AWS Organizations. Ao concluir as edições, você retornará automaticamente à nova versão do console.

  3. Em Nome da política, insira Block CloudTrail Configuration Actions.

  4. Na seção Policy (Política), na lista de serviços à esquerda, selecione CloudTrail para o serviço. Depois escolha as seguintes ações: AddTags, CreateTrail, DeleteTrail, RemoveTags, StartLogging, StopLogging e UpdateTrail.

  5. Ainda no painel esquerdo, escolha Add resource (Adicionar recurso) e especifique CloudTrail e All Resources (Todos os recursos). Escolha Add resource (Adicionar recurso).

    A instrução de política à direita é atualizada para ser semelhante ao seguinte.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1234567890123", "Effect": "Deny", "Action": [ "cloudtrail:AddTags", "cloudtrail:CreateTrail", "cloudtrail:DeleteTrail", "cloudtrail:RemoveTags", "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": [ "*" ] } ] }
  6. Escolha Create policy (Criar política).

A segunda política define uma lista de permissões de todos os serviços e ações que você deseja habilitar para usuários e funções na UO de produção. Depois de você concluir, os usuários na UO de produção poderão acessar apenas os serviços e ações listados.

AWS Management Console

Como criar a segunda política que permite serviços aprovados para a UO de produção

  1. Na página Service control policies (Políticas de controle de serviço), escolha Create policy (Criar política).

  2. Em Nome da política, insira Allow List for All Approved Services.

  3. Posicione o cursor no painel à direita da seção Policy (Política) e cole uma política como a seguinte.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1111111111111", "Effect": "Allow", "Action": [ "ec2:*", "elasticloadbalancing:*", "codecommit:*", "cloudtrail:*", "codedeploy:*" ], "Resource": [ "*" ] } ] }
  4. Escolha Create policy (Criar política).

A política final fornece uma lista de negações de serviços que são bloqueados para uso na UO MainApp. Para este tutorial, você bloqueia o acesso ao Amazon DynamoDB em todas as contas que estão na UO MainApp.

AWS Management Console

Como criar a terceira política que nega o acesso a serviços que não podem ser usados na UO MainApp

  1. Na página Service control policies (Políticas de controle de serviço), escolha Create policy (Criar política).

  2. Em Nome da política, insira Deny List for MainApp Prohibited Services.

  3. Na seção Policy (Política) à esquerda, selecione Amazon DynamoDB para o serviço. Para a ação, escolha All actions (Todas as ações).

  4. Ainda no painel esquerdo, selecione Add resource (Adicionar recurso) e especifique DynamoDB e All Resources (Todos os recursos). Escolha Add resource (Adicionar recurso).

    A instrução de política à direita é atualizada para ser semelhante ao seguinte.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "dynamodb:*" ], "Resource": [ "*" ] } ] }
  5. Escolha Create policy (Criar política) para salvar a SCP.

Anexe as SCPs às suas UOs

Agora que as SCPs existem e estão habilitadas para a raiz, você pode anexá-las para a raiz e UO.

AWS Management Console

Para anexar as políticas à raiz e às UOs

  1. Navegue até o página Contas da AWS .

  2. Na página Contas da AWS , escolha Root (Raiz (seu nome, não o botão de opção) para navegar até sua página de detalhes.

  3. Na página de detalhes de Root (Raiz), a guia Policies (Políticas) e, em Service Control Policies (Políticas de controle de serviço), escolha Attach (Anexar).

  4. Na página Attach a service control policy (Anexar política de controle de serviço), escolha o botão de seleção ao lado da SCP chamada Block CloudTrail Configuration Actions, depois, escolha Attach (Anexar). Neste tutorial, você anexa-a à raiz para que afete todas as contas-membro para impedir que alguém altere sua configuração do CloudTrail.

    Na página de detalhes de Raiz, a guia Policies (Políticas) agora mostra que duas SCPs estão anexadas à raiz: a que você acabou de anexar e a SCP padrão FullAWSAccess.

  5. Navegue novamente para a página Contas da AWS e escolha a UO Produção (é o nome, não o botão de opção) para navegar até a página de detalhes.

  6. Na página de detalhes da UO Produção, escolha a guia Policies (Políticas).

  7. Em Service Control Policies (Políticas de controle de serviço), escolha Attach (Anexar).

  8. Na página Attach a service control policy (Anexar política de controle de serviço), escolha o botão de seleção ao lado de Allow List for All Approved Services, depois, escolha Attach (Anexar). Isso permite que os usuários ou funções das contas-membro na UO Produção acessem os serviços aprovados.

  9. Escolha a guia Policies (Políticas) novamente para ver que duas SCPs estão anexadas à UO: a que você acabou de anexar e a SCP padrão FullAWSAccess. No entanto, como a SCP FullAWSAccess também é uma lista de autorização que permite todos os serviços e ações, você deve desvincular essa SCP para garantir que apenas os serviços aprovados sejam permitidos.

  10. Para remover a política padrão da UO Produção, escolha o botão de opção para FullAWSAccess, escolha Detach (Desvincular) e, na caixa de diálogo de confirmação, escolha Detach policy (Desvincular política).

    Depois de remover essa política padrão, todas as contas-membro na UO Produção perdem imediatamente o acesso a todas as ações e os serviços que não estão na SCP de lista de permissões anexada na etapa anterior. Todas as solicitações para usar ações que não estão incluídas na SCP Allow List for All Approved Services (Lista de permissões para todos os serviços aprovados) são negadas. Isso é válido mesmo se um administrador de uma conta conceder acesso a outro serviço anexando uma política de permissões do IAM a um usuário em uma das contas-membro.

  11. Agora você pode anexar a SCP chamada Deny List for MainApp Prohibited services para impedir que qualquer pessoa nas contas na UO do MainApp de usar quaisquer serviços restritos.

    Para fazer isso, navegue até a página Contas da AWS , escolha o ícone de triângulo para expandir a ramificação da UO Produção, depois, escolha a UO MainApp (é o nome, não o botão de opção) para navegar para o seu conteúdo.

  12. Na página de detalhes de MainApp, escolha a guia Policies (Políticas).

  13. Em Service Control Policies (Políticas de controle de serviço), escolha Attach (Anexar) e, na lista de políticas disponíveis, escolha o botão de opção ao lado de Deny List for MainApp Prohibited Services (Lista de negação para serviços proibidos para MainApp), depois, escolha Attach policy (Anexar política).

Etapa 4: testar suas políticas da organização

Agora você pode fazer login como um usuário em qualquer uma das contas-membro e tentar executar várias ações da AWS:

  • Se você fizer login como um usuário na conta de gerenciamento, poderá executar qualquer operação permitida por suas políticas de permissões do IAM. As SCPs não afetam nenhum usuário ou função da conta de gerenciamento, independentemente da raiz ou da UO em que a conta está localizada.

  • Se fizer login como o usuário raiz ou um usuário do IM na conta 222222222222, você poderá executar qualquer ação permitida pela lista de permissões. O AWS Organizations nega qualquer tentativa de executar uma ação em qualquer serviço que não esteja na lista de permissões. Além disso, o AWS Organizations nega qualquer tentativa de executar uma das ações de configuração do CloudTrail.

  • Se fizer login como usuário na conta 333333333333, você poderá executar qualquer ação permitida pela lista de permissões e não bloqueadas pela lista de negações. O AWS Organizations nega qualquer tentativa de executar uma ação que não esteja na política de lista de permissões e qualquer ação que esteja na política de lista de negações. Além disso, o AWS Organizations nega qualquer tentativa de executar uma das ações de configuração do CloudTrail.