

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Quand utiliser AWS Organizations
<a name="using-orgs"></a>

AWS Organizations est un AWS service que vous pouvez utiliser pour gérer votre Comptes AWS groupe. Cela fournit des fonctionnalités telles que la facturation consolidée, où toutes les factures de vos comptes sont regroupées et traitées par un seul payeur. Vous pouvez également gérer de manière centralisée la sécurité de votre organisation à l'aide de contrôles basés sur des politiques. Pour plus d'informations AWS Organizations, consultez le [guide de AWS Organizations l'utilisateur](https://docs.aws.amazon.com/organizations/latest/userguide/).

**Accès sécurisé**

Lorsque vous gérez AWS Organizations vos comptes en tant que groupe, la plupart des tâches administratives de l'organisation ne peuvent être effectuées que par le *compte de gestion* de l'organisation. Par défaut, cela inclut uniquement les opérations liées à la gestion de l'organisation elle-même. Vous pouvez étendre cette fonctionnalité supplémentaire à d'autres AWS services en activant *un accès sécurisé* entre Organizations et ce service. L'accès sécurisé autorise le AWS service spécifié à accéder aux informations relatives à l'organisation et aux comptes qu'elle contient. Lorsque vous activez l'accès sécurisé pour la gestion des comptes, le service de gestion des comptes autorise Organizations et son compte de gestion à accéder aux métadonnées, telles que les coordonnées principales ou secondaires, pour tous les comptes membres de l'organisation. 

Pour de plus amples informations, veuillez consulter [Permettre un accès fiable pour la gestion des AWS comptes](using-orgs-trusted-access.md).

**Administrateur délégué**

Après avoir activé l'accès sécurisé, vous pouvez également choisir de désigner l'un de vos comptes membres comme compte *administrateur délégué* pour la gestion des AWS comptes. Cela permet au compte administrateur délégué d'effectuer les mêmes tâches de gestion des métadonnées de gestion des comptes pour les comptes des membres de votre organisation que seul le compte de gestion pouvait effectuer auparavant. Le compte administrateur délégué ne peut accéder qu'aux tâches de gestion du service de gestion des comptes. Le compte administrateur délégué ne dispose pas de tous les accès administratifs à l'organisation dont dispose le compte de gestion.

Pour de plus amples informations, veuillez consulter [Activer un compte administrateur délégué pour la gestion des AWS comptes](using-orgs-delegated-admin.md).

**Politiques de contrôle des services**

Lorsque vous faites Compte AWS partie d'une organisation gérée par AWS Organizations, l'administrateur de l'organisation peut appliquer des [politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) qui peuvent limiter les actions des responsables des comptes membres. Un SCP n'accorde jamais d'autorisations ; il s'agit plutôt d'un filtre qui limite les autorisations pouvant être utilisées par le compte membre. Un utilisateur ou un rôle (*un principal*) dans un compte membre ne peut effectuer que les opérations qui se situent à l'intersection de ce SCPs qui est autorisé par les règles applicables au compte et des politiques d'autorisation IAM associées au principal. Par exemple, vous pouvez l'utiliser SCPs pour empêcher le principal d'un compte de modifier les contacts alternatifs de son propre compte.

Par exemple, SCPs qui s'appliquent à Comptes AWS, voir[Limitez l'accès à l'aide AWS Organizations de politiques de contrôle des services](using-orgs-example-scps.md).

# Permettre un accès fiable pour la gestion des AWS comptes
<a name="using-orgs-trusted-access"></a>

L'activation d'un accès sécurisé pour AWS la gestion des comptes permet à l'administrateur du compte de gestion de modifier les informations et les métadonnées (par exemple, les coordonnées principales ou secondaires) spécifiques à chaque compte membre dans AWS Organizations. Pour plus d'informations, consultez la section [Gestion des AWS comptes et AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-account.html#integrate-enable-ta-account) le *Guide de AWS Organizations l'utilisateur*. Pour obtenir des informations générales sur le fonctionnement de l'accès sécurisé, consultez la section [Utilisation AWS Organizations avec d'autres AWS services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html).

Une fois l'accès sécurisé activé, vous pouvez utiliser le `accountID` paramètre dans les [opérations de l'API de gestion des comptes](API_Operations.md) qui le prennent en charge. Vous ne pouvez utiliser ce paramètre correctement que si vous appelez l'opération à l'aide des informations d'identification du compte de gestion ou du compte administrateur délégué de votre organisation si vous en activez un. Pour de plus amples informations, veuillez consulter [Activer un compte administrateur délégué pour la gestion des AWS comptes](using-orgs-delegated-admin.md).

Utilisez la procédure suivante pour activer l'accès sécurisé pour la gestion des comptes dans votre organisation.

**Autorisations minimales**  
Pour effectuer ces tâches, vous devez satisfaire aux exigences suivantes :  
Vous ne pouvez effectuer cette opération qu'à partir du compte de gestion de l'organisation.
[Toutes les fonctions doivent être activées](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) pour votre organisation.

------
#### [ AWS Management Console ]

**Pour permettre un accès fiable pour la gestion des AWS comptes**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

1. Choisissez **Services** dans le volet de navigation.

1. Choisissez **Gestion de AWS compte** dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de dialogue **Activer l'accès sécurisé pour la gestion des AWS comptes**, tapez **enable** pour le confirmer, puis choisissez **Activer l'accès sécurisé**.

------
#### [ AWS CLI & SDKs ]

**Pour permettre un accès fiable pour la gestion des AWS comptes**  
Après avoir exécuté la commande suivante, vous pouvez utiliser les informations d'identification du compte de gestion de l'organisation pour appeler les opérations de l'API de gestion des comptes qui utilisent le `--accountId` paramètre pour référencer les comptes des membres d'une organisation.
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  L'exemple suivant active un accès sécurisé pour la gestion des AWS comptes dans l'organisation du compte appelant.

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal account.amazonaws.com
  ```

  Cette commande ne produit aucune sortie si elle réussit.

------

# Activer un compte administrateur délégué pour la gestion des AWS comptes
<a name="using-orgs-delegated-admin"></a>

Vous activez un compte d'administrateur délégué afin de pouvoir appeler les opérations de l'API de gestion des AWS comptes pour les autres comptes membres AWS Organizations. Une fois que vous avez enregistré un compte d'administrateur délégué pour votre organisation, les utilisateurs et les rôles de ce compte peuvent appeler les AWS CLI opérations du AWS SDK dans l'`account`espace de noms qui peuvent fonctionner en mode Organizations en prenant en charge un paramètre facultatif`AccountId`.

Pour enregistrer un compte membre dans votre organisation en tant que compte administrateur délégué, suivez la procédure suivante.

------
#### [ AWS CLI & SDKs ]

**Pour enregistrer un compte d'administrateur délégué pour le service de gestion des comptes**  
Vous pouvez utiliser les commandes suivantes pour activer un administrateur délégué pour le service de gestion des comptes.

**Autorisations minimales**  
Pour effectuer ces tâches, vous devez satisfaire aux exigences suivantes :  
Vous ne pouvez effectuer cette opération qu'à partir du compte de gestion de l'organisation.
[Toutes les fonctions doivent être activées](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) pour votre organisation.
Vous devez avoir [activé l'accès sécurisé pour la gestion des comptes dans votre organisation](using-orgs-trusted-access.md).

Vous devez spécifier le principal de service suivant :

```
account.amazonaws.com
```
+ AWS CLI: [register-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)

  L'exemple suivant enregistre un compte membre de l'organisation en tant qu'administrateur délégué pour le service de gestion des comptes. 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal account.amazonaws.com
  ```

  Cette commande ne produit aucune sortie si elle réussit.

  Après avoir exécuté cette commande, vous pouvez utiliser les informations d'identification du compte 123456789012 pour appeler la gestion des comptes AWS CLI et les opérations API du SDK qui utilisent le `--account-id` paramètre pour référencer les comptes des membres d'une organisation.

------
#### [ AWS Management Console ]

Cette tâche n'est pas prise en charge dans la console de gestion de AWS compte. Vous ne pouvez effectuer cette tâche qu'en utilisant le AWS CLI ou une opération d'API provenant de l'un des AWS SDKs.

------

# Limitez l'accès à l'aide AWS Organizations de politiques de contrôle des services
<a name="using-orgs-example-scps"></a>

Cette rubrique présente des exemples qui montrent comment vous pouvez utiliser les politiques de contrôle des services (SCPs) AWS Organizations pour restreindre les actions des utilisateurs et des rôles dans les comptes de votre organisation. Pour plus d'informations sur les politiques de contrôle des services, consultez les rubriques suivantes du *Guide de AWS Organizations l'utilisateur* :
+ [Création SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html)
+ [Rattachement SCPs à des comptes OUs et à des comptes](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)
+ [Stratégies pour SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_strategies.html)
+ [Syntaxe de la politique SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)

**Example Exemple 1 : Empêcher les comptes de modifier leurs propres contacts alternatifs**  
L'exemple suivant empêche les opérations `PutAlternateContact` et `DeleteAlternateContact` API d'être appelées par un compte membre en [mode compte autonome](manage-acct-api-modes-of-operation.md). Cela empêche les principaux titulaires des comptes concernés de modifier leurs propres contacts alternatifs.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact"
            ],
            "Resource": [ "arn:aws:account::*:account" ]
        }
    ]
}
```

**Example Exemple 2 : Empêcher un compte membre de modifier les contacts alternatifs pour tout autre compte membre de l'organisation**  
L'exemple suivant généralise l'`Resource`élément en « \$1 », ce qui signifie qu'il s'applique à la fois aux [demandes en mode autonome et aux demandes en mode organisations](manage-acct-api-modes-of-operation.md). Cela signifie que même le compte administrateur délégué pour la gestion des comptes, si le SCP s'y applique, ne peut pas changer de contact alternatif pour n'importe quel compte de l'organisation.     
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact"
            ],
            "Resource": [ "*" ]
        }
    ]
}
```

**Example Exemple 3 : Empêcher un compte membre d'une unité d'organisation de modifier ses propres contacts alternatifs**  
L'exemple de SCP suivant inclut une condition qui compare le chemin d'organisation du compte à une liste de deux OUs. Cela empêche le principal de n'importe quel compte indiqué OUs de modifier ses propres contacts alternatifs.