Configurer une organisation

Lorsque vous en avez plusieurs Comptes AWS, vous pouvez gérer ces comptes de manière logique par le biais d'une organisation dans AWS Organizations. Un compte dans AWS Organizations est une norme Compte AWS qui contient vos AWS ressources et les identités qui peuvent accéder à ces ressources. Une organisation est une entité qui consolide les vôtres Comptes AWS afin que vous puissiez les administrer en tant qu'unité unique.

Lorsque vous utilisez un compte pour créer une organisation, ce compte devient le compte de gestion (également appelé compte payeur ou compte root) pour l'organisation. Une organisation ne peut avoir qu'un seul compte de gestion. Lorsque vous ajoutez des informations supplémentaires Comptes AWS à l'organisation, elles deviennent des comptes membres.

Note

Chacun possède Compte AWS également une seule identité appelée utilisateur root. Vous pouvez vous connecter en tant qu'utilisateur root avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Toutefois, il est vivement recommandé de ne pas utiliser l'utilisateur root pour vos tâches quotidiennes, y compris pour les tâches administratives. Pour plus d'informations, veuillez consulter Utilisateur root Compte AWS.

Nous recommandons également de centraliser l'accès root pour les comptes membres et de supprimer les informations d'identification de l'utilisateur root des comptes membres de votre organisation.

Vous organisez les comptes dans une structure arborescente hiérarchique qui comprend la racine de l'organisation, les unités organisationnelles (OUs) et les comptes des membres. La racine est le conteneur parent pour tous les comptes de votre organisation. Une unité d'organisation (UO) est un conteneur pour comptes au sein de la racine. Une UO peut contenir d'autres comptes OUs ou des comptes de membres. Une unité d'organisation ne peut posséder qu'un seul parent et chaque compte peut être un membre d'une seule unité d'organisation. Pour plus d'informations, consultez Terminologie et concepts (AWS Organizations documentation).

Une politique de contrôle des services (SCP) spécifie les services et les actions que les utilisateurs et les rôles peuvent utiliser. SCPs sont similaires aux politiques d'autorisation AWS Identity and Access Management (IAM) sauf qu'elles n'accordent pas d'autorisations. SCPs Définissez plutôt les autorisations maximales. Lorsque vous attachez une politique à l'un des nœuds de la hiérarchie, elle s'applique à tous les comptes OUs et de ce nœud. Par exemple, si vous appliquez une politique à la racine, elle s'applique à tous les OUs comptes de l'organisation, et si vous appliquez une politique à une unité d'organisation, elle ne s'applique qu'aux comptes OUs et de l'unité d'organisation cible.

Une politique de contrôle des ressources (RCP) permet de contrôler de manière centralisée les autorisations maximales disponibles pour les ressources de votre organisation. RCPs vous aider à vous assurer que les ressources de votre compte respectent les directives de contrôle d'accès de votre organisation.

Vous pouvez utiliser la AWS Organizations console pour visualiser et gérer de manière centralisée tous vos comptes au sein d'une organisation. L'un des avantages de l'utilisation d'une organisation est que vous pouvez recevoir une facture consolidée indiquant tous les frais associés aux comptes de gestion et aux comptes membres. Pour plus d'informations, consultez la section Facturation consolidée (AWS Organizations documentation).

Bonnes pratiques

N'utilisez pas une organisation existante Compte AWS pour créer une organisation. Commencez par un nouveau compte, qui devient votre compte de gestion pour l'organisation. Les opérations privilégiées peuvent être effectuées dans le compte de gestion d'une organisation SCPs et RCPs ne s'appliquent pas au compte de gestion. C’est pourquoi vous devez limiter les ressources et données cloud contenues dans le compte de gestion à celles qui doivent être gérées dans le compte de gestion.
Limitez l'accès au compte de gestion aux seules personnes qui ont besoin d'approvisionner de nouveaux comptes Comptes AWS et d'administrer l'organisation.
SCPs À utiliser pour définir les autorisations maximales pour la racine, les unités organisationnelles et les comptes des membres. SCPs ne peut pas être directement appliqué au compte de gestion.
RCPs À utiliser pour définir les autorisations maximales pour les ressources dans les comptes des membres. RCPsne peut pas être directement appliqué au compte de gestion.
Respectez les meilleures pratiques pour AWS Organizations (AWS Organizations documentation).

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des identités et contrôle d'accès

Création d'une zone de destination