AWS Organizations
Guia do usuário

Tutorial: criando e configurando uma organização

Neste tutorial, você cria sua organização e configurá-lo com duas contas-membro da AWS. Você cria uma das contas-membro em sua organização e convida outras contas para a inscrição da sua organização. Depois, você usa a técnica de lista de permissões para especificar que os administradores podem delegar apenas os serviços e ações listados explicitamente. Isso permite que os administradores validem qualquer novo serviço apresentado pela AWS antes de permitir o seu uso por outra pessoa em sua empresa. Dessa forma, se a AWS apresentar um novo serviço, ele permanecerá proibido até que um administrador adicione o serviço à lista de permissões na política adequada. O tutorial também mostra como usar a lista de negações para garantir que nenhum usuário em uma conta-membro possa alterar a configuração dos logs de auditoria criados pelo AWS CloudTrail.

A seguinte ilustração mostra as etapas principais do tutorial.

Etapa 1: Criar sua organização

Nesta etapa, você cria uma organização com sua conta da AWS atual como a conta mestra. Você também pode convidar uma conta da AWS para participar da sua organização e criar uma segunda conta como uma conta-membro.

Etapa 2: Crie as unidades organizacionais

Em seguida, você cria duas unidades organizacionais (UOs) na sua nova organização e coloca a conta-membro nestas UOs.

Etapa 3: Criar as políticas de controle de serviço

É possível aplicar restrições às ações que podem ser delegadas para usuários e funções nas contas-membro usando políticas de controle de serviço (SCPs). Nesta etapa, você cria duas SCPs e anexa-as às UOs de sua organização.

Etapa 4: Teste de suas políticas da organização

Você pode fazer login como usuários de cada uma das contas de teste e ver os efeitos que as SCPs têm sobre as contas.

Nenhuma das etapas deste tutorial incorrem em custos em sua fatura da AWS. O AWS Organizations é um serviço gratuito.

Pré-requisitos

Este tutorial pressupõe que você tem acesso a duas contas da AWS existente (você cria uma terceira como parte deste tutorial), e assim pode efetuar login em cada um como um administrador.

O tutorial refere-se às contas como o seguinte:

  • 111111111111 – A conta que você usa para criar a organização. Esta conta torna-se a conta mestra. O proprietário desta conta tem um endereço de e-mail do masteraccount@example.com.

  • 222222222222 – Uma conta que você convidar para participar da organização como uma conta-membro. O proprietário desta conta tem um endereço de e-mail do member222@example.com.

  • 333333333333 – Uma conta que você cria como um membro da organização. O proprietário desta conta tem um endereço de e-mail do member333@example.com.

Substitua os valores acima pelos valores associados às suas contas de teste. Recomendamos não usar contas de produção para este tutorial.

Etapa 1: Criar sua organização

Nesta etapa, você entra na conta 111111111111 como administrador, cria uma organização com essa conta como mestre e convida uma conta existente, 222222222222, para participar como uma conta-membro.

  1. Faça login no AWS como administrador na conta 111111111111 e abra o console do AWS Organizations em https://console.aws.amazon.com/organizations/.

  2. Na página de introdução, escolha Criar organização.

  3. Na caixa de diálogo de confirmação Criar organização, escolha Criar organização.

    nota

    Por padrão, a organização é criada com todos os recursos habilitados. Você também pode criar a organização apenas com recursos de faturamento consolidado habilitados.

    A organização foi criada. Você já está na guia Accounts (Contas). A estrela próxima do e-mail da conta indica que ela é a conta mestra.

    Um e-mail de verificação é enviado automaticamente para o endereço associado à sua conta mestra. Talvez haja um atraso até você receber o e-mail de verificação.

  4. Verifique o endereço de e-mail em 24 horas. Para obter mais informações, consulte Verificação do endereço de e-mail.

Você agora tem uma organização que tem sua conta como o único membro. Esta é a conta mestra da organização.

Convide uma conta atual para participar da sua organização

Agora que você tem uma organização, você pode começar a preenchê-la com contas. Nas etapas nesta seção, você convida uma conta existente para participar e se tornar um membro da sua organização.

Para convidar uma conta existente para participar

  1. Open the Organizações console at https://console.aws.amazon.com/organizations/.

  2. Selecione a guia Accounts. A estrela próximo ao nome da conta indica que ela é a conta mestra.

    Agora você pode convidar outras contas para participar como contas-membro.

  3. Na guia Accounts (Contas), escolha Add account (Adicionar conta) e escolha Invite Account (Convidar conta).

  4. Na caixa Account ID or email (ID da conta ou e-mail), insira o endereço de e-mail do proprietário da conta que você deseja convidar, semelhante ao seguinte: member222@example.com

  5. Digite o texto que você deseja na caixa Notes (Observações). Esse texto é incluído no e-mail que é enviado para o proprietário da conta.

  6. Escolha Invite (Convidar). AWS Organizations envia o convite para o proprietário da conta.

    Importante

    Se você receber um erro que indica que excedeu seus limites de conta para a organização ou que não pode adicionar uma conta porque sua organização ainda está inicializando, aguarde uma hora depois de criar a organização e tente novamente. Se o erro persistir, entre em contato com o AWS Support.

  7. Para os fins deste tutorial, você agora precisa aceitar seu próprio convite. Execute uma das seguintes ações para acessar a página Convites no console:

    • Abra o e-mail enviado pela AWS da conta-mestre e clique no link para aceitar o convite. Quando solicitado a fazer login, faça isso como um administrador na conta-membro convidada.

    • Abra o console do AWS Organizations (https://console.aws.amazon.com/organizations/) e faça login como administrador da conta membro. Escolha Convites. O número ao lado do link indica quantos convites esta conta tem.

  8. Na página Convites, selecione Aceitar e depois Confirmar.

  9. Saia da sua conta-membro e faça login novamente como um administrador na sua conta-mestre.

Crie uma conta-membro

Nas etapas nesta seção, você cria uma conta da AWS que é automaticamente um membro da organização. Chamamos essa conta no tutorial de 333333333333.

Para criar uma conta-membro

  1. No console do AWS Organizations, na guia Accounts (Contas), escolha Add account (Adicionar conta).

  2. Em Full name (Nome completo), digite um nome para a conta, como MainApp Account.

  3. Em Email (E-mail), digite o endereço de e-mail do indivíduo que deve receber comunicações em nome da conta. Esse valor deve ser exclusivo globalmente. Não é possível que duas contas tenham o mesmo endereço de e-mail. Por exemplo, convém usar algo como mainapp@example.com.

  4. Para Nome da função do IAM, você pode deixar isso em branco para usar automaticamente o nome da função padrão do OrganizationAccountAccessRole ou você pode fornecer o seu próprio nome. Essa função permite acessar a nova conta-membro quando conectado como um usuário do IAM na conta mestra. Para este tutorial, deixe em branco para instruir o AWS Organizations a criar a função com o nome padrão.

  5. Escolha Criar. Você pode precisar esperar um pouco e atualizar a página para ver se a nova conta aparece na guia Contas.

    Importante

    Se você receber um erro que indica que excedeu seus limites de conta para a organização ou que não pode adicionar uma conta porque sua organização ainda está inicializando, aguarde uma hora depois de criar a organização e tente novamente. Se o erro persistir, entre em contato com o AWS Support.

Etapa 2: Crie as unidades organizacionais

Nas etapas desta seção, você cria unidades organizacionais (UOs) e coloca suas contas-membro. Sua hierarquia será semelhante à seguinte ilustração quando estiver pronta. A conta mestra permanece na raiz. Uma conta-membro é movida para a UO de produção e a outra é movida para a UO MainApp, que é um filho de produção.

Para criar e preencher as UOs

  1. No console do AWS Organizations, escolha a guia Organize Accounts (Organizar contas) e + New organizational unit (+ Nova unidade organizacional).

  2. No nome da UO, digite Production e escolha Create organizational unit (Criar unidade organizacional).

  3. Escolha sua nova UO Production (Produção) para navegar até ela e escolha + New organizational unit (+ Nova unidade organizacional).

  4. No nome da segunda UO, digite MainApp e escolha Create organizational unit (Criar unidade organizacional).

    Agora você pode mover suas contas-membro para essas UOs.

  5. Na visualização em árvore à esquerda, escolha Root (Raiz).

  6. Selecione a primeira conta-membro 222222222222 e escolha Move (Mover).

  7. Na caixa de diálogo Move accounts (Mover contas), selecione Production (Produção) e escolha Move (Mover).

  8. Selecione a segunda conta-membro, 333333333333, e escolha Move (Mover).

  9. Na caixa de diálogo Move accounts (Mover contas), selecione Production (Produção) para expor MainApp. Escolha MainApp e escolha Move (Mover).

Etapa 3: Criar as políticas de controle de serviço

Nas etapas desta seção, você cria três políticas de controle de serviço (SCPs) e anexa-as à raiz e às UOs para restringir o que os usuários podem fazer nas contas da organização. A primeira SCP impede que qualquer pessoa em qualquer uma das contas-membro crie ou modifique quaisquer logs do AWS CloudTrail que você configurar. A conta mestra não é afetada por qualquer SCP, portanto, depois de aplicar a SCP do CloudTrail, você deve criar todos os logs na conta mestra.

Para criar o primeira SCP que bloqueia as ações de configuração do CloudTrail

  1. Selecione a guia Policies (Políticas) e escolha Create policy (Criar política).

  2. Em Policy name (Nome da política), insira Block CloudTrail Configuration Actions.

  3. Na seção Policy (Política) à esquerda, selecione CloudTrail para o serviço. Depois escolha as seguintes ações: AddTags, CreateTrail, DeleteTrail, RemoveTags, StartLogging, StopLogging e UpdateTrail.

  4. Ainda no painel esquerdo, selecione Add resource (Adicionar recurso) e especifique CloudTrail e All Resources (Todos os recursos). Escolha Add resource (Adicionar recurso).

    A instrução de política à direita é atualizada para ser semelhante ao seguinte.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1234567890123", "Effect": "Deny", "Action": [ "cloudtrail:AddTags", "cloudtrail:CreateTrail", "cloudtrail:DeleteTrail", "cloudtrail:RemoveTags", "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": [ "*" ] } ] }
  5. Escolha Create policy (Criar política).

A segunda política define uma lista de permissões de todos os serviços e ações que você deseja habilitar para usuários e funções na UO de produção. Depois de você concluir, os usuários na UO de produção poderão acessar apenas os serviços e ações listados.

Como criar a segunda política que permite serviços aprovados para a UO de produção

  1. Na lista de políticas, escolha Create policy (Criar política).

  2. Em Policy name (Nome da política), insira Allow List for All Approved Services.

  3. Posicione o cursor no painel à direita da seção Policy (Política) e cole uma política como a seguinte.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1111111111111", "Effect": "Allow", "Action": [ "ec2:*", "elasticloadbalancing:*", "codecommit:*", "cloudtrail:*", "codedeploy:*" ], "Resource": [ "*" ] } ] }
  4. Escolha Create policy (Criar política).

A política final fornece uma lista de negações de serviços que são bloqueados para uso na UO MainApp. Para este tutorial, você bloqueia o acesso ao Amazon DynamoDB em todas as contas que estão na UO MainApp.

Como criar a terceira política que nega o acesso a serviços que não podem ser usados na UO MainApp

  1. Na guia Policies (Políticas), escolha Create policy (Criar política).

  2. Em Policy name (Nome da política), insira Deny List for MainApp Prohibited Services.

  3. Na seção Policy (Política) à esquerda, selecione Amazon DynamoDB para o serviço. Para a ação, escolha All actions (Todas as ações).

  4. Ainda no painel esquerdo, selecione Add resource (Adicionar recurso) e especifique DynamoDB e All Resources (Todos os recursos). Escolha Add resource (Adicionar recurso).

    A instrução de política à direita é atualizada para ser semelhante ao seguinte.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "dynamodb:*" ], "Resource": [ "*" ] } ] }
  5. Escolha Create policy (Criar política) para salvar a SCP.

Ative o tipo de política de controle de serviço na raiz

Para poder anexar uma política de qualquer tipo a uma raiz ou a qualquer UO em uma raiz, você deve ativar o tipo de política para a raiz. Por padrão, os tipos de política não são habilitados em nenhuma raiz. As etapas desta seção mostram como habilitar o tipo de política de controle de serviço (SCP) para a raiz em sua organização.

nota

No momento, você pode ter apenas uma raiz em sua organização. Ela é criada para você e nomeada como Raiz quando você cria sua organização.

Para habilitar SCPs para sua raiz

  1. Na guia Organize accounts (Organizar contas), escolha sua raiz.

  2. No painel Details (Detalhes) à direita, em ENABLE/DISABLE POLICY TYPES (HABILITAR/DESABILITAR TIPOS DE POLÍTICA), ao lado de Service control policies (Políticas de controle de serviço), escolha Enable (Habilitar).

Anexe as SCPs às suas UOs

Agora que as SCPs existem e estão habilitadas para a raiz, você pode anexá-las para a raiz e UO.

Para anexar as políticas à raiz e às UOs

  1. Ainda na guia Organize accounts (Organizar contas), no painel Details (Detalhes) à direita, em POLICIES (POLÍTICAS), escolha SERVICE CONTROL POLICIES (POLÍTICAS DE CONTROLE DE SERVIÇO).

  2. Escolha Attach (Anexar) ao lado da SCP denominada Block CloudTrail Configuration Actions, para impedir que alguém altere sua configuração do CloudTrail. Neste tutorial, você a anexa à raiz para que afete todas as contas-membro.

    O painel Details (Detalhes) agora mostra em destaque que duas SCPs estão anexadas à raiz: a que você acabou de criar e a SCP FullAWSAccess padrão.

  3. Escolha a UO Production (Produção) (não a caixa de seleção) para navegar pelo conteúdo.

  4. Em POLICIES (POLÍTICAS), selecione SERVICE CONTROL POLICIES (POLÍTICAS DE CONTROLE DE SERVIÇO) e selecione Attach (Anexar), ao lado de Allow List for All Approved Services, para permitir que os usuários ou as funções em contas-membro da UO de produção acessem os serviços aprovados.

  5. O painel de informações agora mostra que duas SCPs estão anexadas à UO: a que você acabou de anexar e a SCP FullAWSAccess padrão. No entanto, como a SCP FullAWSAccess também é uma autorização que permite todos os serviços e ações, você deve desanexar essa SCP para garantir que apenas os serviços aprovados sejam permitidos.

  6. Para remover a política padrão da UO de produção, ao lado de FullAWSAccess, escolha Detach (Desanexar). Depois de remover essa política padrão, todas as contas-membro na raiz perdem imediatamente o acesso a todas as ações e os serviços que não estão na SCP da lista de permissões anexada na etapa anterior. Todas as solicitações para usar ações que não estão incluídas na SCP Allow List for All Approved Services (Lista de permissões para todos os serviços aprovados) são negadas. Isso é válido mesmo se um administrador em uma conta conceder acesso a outro serviço anexando uma política de permissões do IAM a um usuário em uma das contas-membro.

  7. Agora você pode anexar a SCP chamada Deny List for MainApp Prohibited services para impedir que qualquer pessoa nas contas na UO do MainApp de usar quaisquer serviços restritos.

    Para fazer isso, escolha a UO MainApp (não a caixa de seleção) para acessar o conteúdo.

  8. No painel Details (Detalhes), em POLICIES (POLÍTICAS), expanda a seção Service control policies (Políticas de controle de serviço). Na lista de políticas disponíveis, ao lado de Deny List for MainApp Prohibited Services (Lista de negações para serviços proibidos de MainApp), selecione Attach (Anexar).

Etapa 4: Teste de suas políticas da organização

Agora você pode fazer login como um usuário em qualquer uma das contas-membro e tentar executar várias ações da AWS:

  • Se você fizer login como um usuário na conta mestra, poderá executar qualquer operação permitida por suas políticas de permissões do IAM. As SCPs não afetam nenhum usuário ou função na conta mestra, independentemente da raiz ou UO em que a conta está localizada.

  • Se fizer login como o usuário raiz ou um usuário do IAM na conta 222222222222, você poderá executar qualquer ação permitida pela lista de permissões. O AWS Organizations nega qualquer tentativa de executar uma ação em qualquer serviço que não esteja na lista de permissões. Além disso, o AWS Organizations nega qualquer tentativa de executar uma das ações de configuração do CloudTrail.

  • Se fizer login como usuário na conta 333333333333, você poderá executar qualquer ação permitida pela lista de permissões e não bloqueadas pela lista de negações. O AWS Organizations nega qualquer tentativa de executar uma ação que não esteja na política de lista de permissões e qualquer ação que esteja na política de lista de negações. Além disso, o AWS Organizations nega qualquer tentativa de executar uma das ações de configuração do CloudTrail.