As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Quando usar AWS Organizations
AWS Organizations é um AWS serviço que você pode usar para gerenciar o seu Contas da AWS como um grupo. Isso fornece recursos, como faturamento consolidado, em que todas as faturas das contas são agrupadas e administradas por um pagante. Você também pode gerenciar de forma centralizada a segurança da organização usando controles baseados em políticas. Para obter mais informações sobre AWS Organizations, consulte o [Guia AWS Organizations do usuário](https://docs.aws.amazon.com/organizations/latest/userguide/).
**Acesso confiável**
Quando você usa AWS Organizations para gerenciar suas contas como um grupo, a maioria das tarefas administrativas da organização pode ser executada somente pela *conta de gerenciamento* da organização. Por padrão, isso só inclui as operações relacionadas ao gerenciamento da própria organização. Você pode estender essa funcionalidade adicional a outros AWS serviços ao permitir o *acesso confiável* entre Organizations e esse serviço. O acesso confiável concede permissões ao AWS serviço especificado para acessar informações sobre a organização e as contas que ela contém. Quando você habilita o acesso confiável para o Gerenciamento de Contas, o serviço de Gerenciamento de Contas concede ao Organizations e à conta de gerenciamento dele permissões para acessar os metadados, como as informações de contato primário ou alternativo, de todas as contas-membro da organização.
Para obter mais informações, consulte [Habilite o acesso confiável para o gerenciamento de AWS contas](using-orgs-trusted-access.md).
**Administrador delegado**
Depois de habilitar o acesso confiável, você também pode escolher designar uma de suas contas de membro como uma conta de *administrador delegada* para AWS o Gerenciamento de Contas. Isso permite que a conta de administrador delegado execute as mesmas tarefas de gerenciamento de metadados do Gerenciamento de Contas para as contas-membro na organização que, anteriormente, somente a conta de gerenciamento podia fazer. A conta de administrador delegado só pode acessar as tarefas de gerenciamento do serviço de Gerenciamento de Contas. A conta de administrador delegado não tem todo o acesso administrativo à organização que a conta de gerenciamento tem.
Para obter mais informações, consulte [Habilitar uma conta de administrador delegado para gerenciamento de AWS contas](using-orgs-delegated-admin.md).
**Políticas de controle de serviço**
Quando você Conta da AWS faz parte de uma organização gerenciada por AWS Organizations, o administrador da organização pode aplicar [políticas de controle de serviço (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) que podem limitar o que os diretores nas contas dos membros podem fazer. Uma SCP nunca concede permissões; em vez disso, ela é um filtro que limita quais permissões podem ser usadas pela conta-membro. Um usuário ou função (*principal*) em uma conta membro pode realizar somente as operações que estão na interseção do que é permitido pelo SCPs que se aplica à conta e das políticas de permissão do IAM anexadas ao diretor. Por exemplo, você pode usar SCPs para impedir que qualquer diretor em uma conta modifique os contatos alternativos de sua própria conta.
Por exemplo, SCPs que se aplicam a Contas da AWS, consulte[Restrinja o acesso usando políticas AWS Organizations de controle de serviços](using-orgs-example-scps.md).
# Habilite o acesso confiável para o gerenciamento de AWS contas
Habilitar o acesso confiável para o Gerenciamento de AWS Contas permite que o administrador da conta de gerenciamento modifique as informações e os metadados (por exemplo, detalhes de contato primários ou alternativos) específicos de cada conta de membro em AWS Organizations. Para obter mais informações, consulte [AWS Account Management and AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-account.html#integrate-enable-ta-account) no *AWS Organizations User Guide*. Para obter informações gerais sobre como o acesso confiável funciona, consulte [Usando AWS Organizations com outros AWS serviços](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html).
Depois que o acesso confiável tiver sido habilitado, você poderá usar o parâmetro `accountID` nas [operações da API de Gerenciamento de Contas](API_Operations.md) compatíveis. Você só poderá usar esse parâmetro com êxito se chamar a operação usando credenciais da conta de gerenciamento ou da conta de administrador delegado da sua organização, se você habilitar uma. Para obter mais informações, consulte [Habilitar uma conta de administrador delegado para gerenciamento de AWS contas](using-orgs-delegated-admin.md).
Use o procedimento a seguir para habilitar o acesso confiável para o Gerenciamento de Contas na organização.
**Permissões mínimas**
Para executar essas tarefas, você deve atender aos seguintes requisitos:
Você só pode executar essas tarefas na conta de gerenciamento da organização.
A organização deve ter [todos os recursos habilitados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html).
------
#### [ Console de gerenciamento da AWS ]
**Para habilitar o acesso confiável para o gerenciamento de AWS contas**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations). É necessário fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário root (não recomendado) na conta de gerenciamento da organização.
1. No painel de navegação, escolha **Serviços**.
1. Escolha **Gerenciamento de Contas da AWS ** na lista de serviços.
1. Escolha **Enable trusted access (Habilitar acesso confiável)**.
1. Na caixa de diálogo **Habilitar acesso confiável para gerenciamento de AWS contas**, digite **habilitar** para confirmá-lo e escolha **Habilitar acesso confiável**.
------
#### [ AWS CLI & SDKs ]
**Para habilitar o acesso confiável para o gerenciamento de AWS contas**
Depois de executar o comando a seguir, você pode usar as credenciais da conta de gerenciamento da organização para chamar as operações da API de Gerenciamento de Contas que usam o parâmetro `--accountId` para fazer referência às contas-membro de uma organização.
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)
O exemplo a seguir permite acesso confiável para o gerenciamento de AWS contas na organização da conta chamadora.
```
$ aws organizations enable-aws-service-access \
--service-principal account.amazonaws.com
```
Se for bem-sucedido, esse comando não produzirá uma saída.
------
# Habilitar uma conta de administrador delegado para gerenciamento de AWS contas
Você ativa uma conta de administrador delegado para poder chamar as operações da API de gerenciamento de AWS contas para outras contas de membros em AWS Organizations. Depois de registrar uma conta de administrador delegado para sua organização, os usuários e funções dessa conta podem chamar as operações do SDK AWS CLI e do AWS SDK no `account` namespace que podem funcionar no modo Organizations oferecendo suporte a um parâmetro opcional. `AccountId`
Para registrar uma conta-membro na organização como conta de administrador delegado, use o procedimento a seguir.
------
#### [ AWS CLI & SDKs ]
**Para registrar uma conta de administrador delegado para o serviço de Gerenciamento de Contas**
Use os comandos a seguir para habilitar um administrador delegado para o serviço de Gerenciamento de Contas.
**Permissões mínimas**
Para executar essas tarefas, você deve atender aos seguintes requisitos:
Você só pode executar essas tarefas na conta de gerenciamento da organização.
A organização deve ter [todos os recursos habilitados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html).
É preciso que tenha sido [habilitado acesso confiável para o Gerenciamento de Contas na organização](using-orgs-trusted-access.md).
Você deve especificar a seguinte entidade principal de serviço:
```
account.amazonaws.com
```
+ AWS CLI: [register-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)
O exemplo a seguir registra uma conta-membro da organização como administrador delegado para o serviço de Gerenciamento de Contas.
```
$ aws organizations register-delegated-administrator \
--account-id 123456789012 \
--service-principal account.amazonaws.com
```
Se for bem-sucedido, esse comando não produzirá uma saída.
Depois de executar esse comando, você pode usar as credenciais da conta 123456789012 para chamar as operações de gerenciamento de contas AWS CLI e da API do SDK que usam o `--account-id` parâmetro para referenciar contas de membros em uma organização.
------
#### [ Console de gerenciamento da AWS ]
Essa tarefa não é suportada no console de gerenciamento de AWS contas. Você pode realizar essa tarefa somente usando o AWS CLI ou uma operação de API de um dos AWS SDKs.
------
# Restrinja o acesso usando políticas AWS Organizations de controle de serviços
Este tópico apresenta exemplos que mostram como você pode usar políticas de controle de serviço (SCPs) AWS Organizations para restringir o que os usuários e funções nas contas da sua organização podem fazer. Para obter mais informações sobre políticas de controle de serviços, consulte os seguintes tópicos no *AWS Organizations User Guide*:
+ [Criando SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html)
+ [Anexação SCPs OUs e contas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)
+ [Estratégias para SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_strategies.html)
+ [Sintaxe da política de SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)
**Example Exemplo 1: impedir que as contas modifiquem seus próprios contatos alternativos**
O exemplo a seguir impede que as operações de API `PutAlternateContact` e `DeleteAlternateContact` sejam chamadas por qualquer conta-membro no [modo de conta autônoma](manage-acct-api-modes-of-operation.md). Isso impede que qualquer entidade principal das contas afetadas altere seus próprios contatos alternativos.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"account:PutAlternateContact",
"account:DeleteAlternateContact"
],
"Resource": [ "arn:aws:account::*:account" ]
}
]
}
```
**Example Exemplo 2: impedir que qualquer conta-membro modifique contatos alternativos para qualquer outra conta-membro da organização**
O exemplo a seguir generaliza o elemento `Resource` como “\$1”, o que significa que ele se aplica tanto às [solicitações do modo autônomo quanto às solicitações do modo organizações](manage-acct-api-modes-of-operation.md). Isso significa que até mesmo a conta de administrador delegado para o Gerenciamento de Contas, se a SCP se aplicar a ela, estará impedida de alterar qualquer contato alternativo para qualquer conta da organização.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"account:PutAlternateContact",
"account:DeleteAlternateContact"
],
"Resource": [ "*" ]
}
]
}
```
**Example Exemplo 3: impedir que uma conta-membro de uma UO modifique seus próprios contatos alternativos**
O exemplo de SCP a seguir inclui uma condição que compara o caminho da organização da conta com uma lista de duas. OUs Isso resulta no bloqueio de um principal em qualquer conta especificada OUs de modificar seus próprios contatos alternativos.