AWS Artifact e AWS Organizations - AWS Organizations

AWS Artifact e AWS Organizations

O AWS Artifact é um serviço que permite que você faça download de relatórios de compatibilidade de segurança da AWS, como relatórios de ISO e PCI. Usando o AWS Artifact, um usuário em uma conta de gerenciamento da organização pode aceitar automaticamente contratos em nome de todas as contas-membro de uma organização, mesmo que novos relatórios e contas sejam adicionados. Os usuários de contas-membro podem visualizar e fazer download dos contratos. Para obter mais informações, consulte Gerenciar um contrato para várias contas no AWS Artifact no Guia do usuário do AWS Artifact.

Use as informações a seguir para ajudá-lo a integrar o AWS Artifact ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite que o AWS Artifact realize as operações suportadas nas contas de sua organização.

Você pode excluir ou modificar essa função apenas se desabilitar o acesso confiável entre o AWS Artifact e o Organizations, ou se remover a conta-membro da organização.

Embora seja possível excluir ou modificar essa função removendo a conta-membro da organização, não recomendamos fazer isso.

Modificar a função não é recomendado porque pode causar problemas de segurança, como confused deputy entre serviços. Para saber mais sobre a proteção contra o ataque “confused deputy”, consulte Prevenção contra o ataque “Confused deputy” em todos os serviços no Guia do usuário do AWS Artifact.

  • AWSArtifactAccountSync

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo AWS Artifact concedem acesso às seguintes entidades de serviço primárias:

  • aws-artifact-account-sync.amazonaws.com

Habilitar o acesso confiável no AWS Artifact

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você pode habilitar o acesso confiável usando apenas as ferramentas do Organizations.

Você pode habilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI ou chamando uma operação da API em um dos AWS SDKs.

AWS Management Console

Para habilitar o acesso ao serviço confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Services (Serviços), localize a linha para o AWS Artifact, escolha o nome do serviço e, em seguida, escolha Enable trusted access (Habilitar acesso confiável).

  3. Na caixa de diálogo de confirmação, habilite Show the option to enable trusted access (Mostrar a opção para habilitar acesso confiável), insira enable na caixa e, em seguida, escolha Enable trusted access (Habilitar acesso confiável).

  4. Se você for o administrador apenas do AWS Organizations, informe ao administrador do AWS Artifact que agora ele pode habilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

AWS CLI, AWS API

Para habilitar o acesso ao serviço confiável usando a CLI/SDK do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para habilitar o acesso ao serviço confiável:

  • AWS CLI: enable-aws-service-access

    Você pode executar o comando a seguir para habilitar o AWS Artifact como um serviço confiável com o Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal aws-artifact-account-sync.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: EnableAWSServiceAccess

Desabilitar o acesso confiável no AWS Artifact

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Apenas um administrador na conta de gerenciamento do AWS Organizations pode desabilitar acesso confiável com o AWS Artifact.

Você pode desabilitar o acesso confiável usando apenas as ferramentas do Organizations.

O AWS Artifact requer acesso confiável com o AWS Organizations para trabalhar com os contratos da organização. Se você desabilitar o acesso confiável usando o AWS Organizations enquanto usa o AWS Artifact nos contratos da organização, ele deixará de funcionar, pois não poderá acessar a organização. Qualquer contrato da organização que você aceitar no AWS Artifact permanecerá, mas não poderá ser acessado pelo AWS Artifact. A função do AWS Artifact que o AWS Artifact cria permanece. Se você reabilitar o acesso confiável, o AWS Artifact continuará operando como antes, sem que você precise reconfigurar o serviço.

Uma conta independente removida de uma organização não tem mais acesso a qualquer contrato da organização.

Você pode desabilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS Management Console

Para desabilitar o acesso confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Services (Serviços), localize a linha do AWS Artifact e escolha o nome do serviço.

  3. Escolha Disable trusted access (Desabilitar acesso confiável).

  4. Na caixa de diálogo de confirmação, insira disable e, em seguida, escolha Disable trusted access (Desabilitar acesso confiável).

  5. Se você for o administrador apenas do AWS Organizations, informe ao administrador do AWS Artifact que agora ele pode desabilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

AWS CLI, AWS API

Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para desabilitar o acesso ao serviço confiável:

  • AWS CLI: disable-aws-service-access

    Você pode executar o comando a seguir para desabilitar o AWS Artifact como um serviço confiável com o Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal aws-artifact-account-sync.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: DisableAWSServiceAccess