Conceitos e terminologia do AWS Organizations

Todos os recursos é o conjunto de recursos padrão que está disponível para o AWS Organizations. Você pode definir políticas centrais e requisitos de configuração para uma organização inteira, criar permissões ou recursos personalizados dentro da organização, gerenciar e organizar suas contas em uma única fatura e delegar responsabilidades a outras contas em nome da organização. Você também pode usar integrações com outros Serviços da AWS para definir configurações centrais, mecanismos de segurança, requisitos de auditoria e compartilhamento de recursos em todas as contas-membro em sua organização. Para obter mais informações, consulte Como usar o AWS Organizations com outros Serviços da AWS.

O modo Todos os recursos fornece todos os recursos de faturamento consolidado junto com os recursos administrativos.

Faturamento consolidado é o conjunto de recursos fornece a funcionalidade de cobrança compartilhada, mas não inclui os recursos mais avançados do AWS Organizations. Por exemplo, não é possível habilitar outros serviços da AWS para integração com sua organização e fazê-lo funcionar em todas as suas contas, ou usar políticas para restringir o que usuários e perfis em contas diferentes podem fazer.

Você pode habilitar todos os recursos em uma organização que originalmente oferecia suporte apenas aos recursos de faturamento consolidado. Para habilitar todos os recursos, todas as contas-membro convidadas devem aprovar a alteração aceitando o convite enviado quando a conta gerencial inicia o processo. Para obter mais informações, consulte Como habilitar todos os recursos de uma organização com o AWS Organizations.

Uma organização é um conjunto de Contas da AWS que você pode gerenciar centralmente e organizar em uma estrutura hierárquica em forma de árvore com uma raiz na parte superior e unidades organizacionais aninhadas sob a raiz. Cada conta pode estar diretamente na raiz ou ser colocada em uma das UOs na hierarquia.

Cada organização consiste em:

Uma organização tem a funcionalidade que é determinada pelo conjunto de recursos que você ativar.

Uma raiz administrativa (raiz) está contida na conta gerencial e é o ponto de partida para organizar suas Contas da AWS. A raiz é o contêiner mais alto na hierarquia da sua organização. Sob essa raiz, você pode criar unidades organizacionais (OUs) para agrupar logicamente suas contas e organizá-las em uma hierarquia que melhor atenda às suas necessidades.

Se você aplicar uma política de gerenciamento à raiz, ela será aplicada a todas as unidades organizacionais (OUs) e contas, incluindo a conta gerencial da organização.

Se você aplicar uma política de autorização (por exemplo, uma política de controle de serviço (SCP)) à raiz, ela se aplicará a todas as unidades organizacionais (OUs) e contas-membro na organização. Ela não se aplica à conta gerencial da organização.

Uma unidade organizacional (OU) é um grupo de Contas da AWSdentro de uma organização. Uma OU também pode conter outras OUs, permitindo que você crie uma hierarquia. Por exemplo, você pode agrupar todas as contas que pertencem ao mesmo departamento em uma OU departamental. Da mesma forma, você pode agrupar todas as contas que executam serviços de segurança em uma OU de segurança.

As OUs são úteis quando você precisa aplicar os mesmos controles a um subconjunto de contas em sua organização. O agrupamento de OUs permite unidades menores de gerenciamento. Por exemplo, você pode criar OUs para cada workload e criar duas OUs aninhadas em cada OU de workload para dividir as workloads de produção da pré-produção. Essas OUs herdam as políticas da OU principal, além de quaisquer controles atribuídos diretamente à OU em nível de equipe. Incluindo a raiz e as Contas da AWS criadas nas OUs mais baixas, sua hierarquia pode ter cinco níveis de profundidade.

Uma Conta da AWS é um contêiner para seus recursos da AWS. Você cria e gerencia seus recursos da AWS em uma Conta da AWS, e a Conta da AWS fornece recursos administrativos para acesso e cobrança.

Usar várias Contas da AWS é uma prática recomendada para a escalabilidade do ambiente, pois fornece um limite de faturamento para custos, isola recursos para fins de segurança, oferece flexibilidade para pessoas e equipes, além de ser adaptável a novos processos de negócios.

Há dois tipos de contas em uma organização: uma única conta designada como conta gerencial e uma ou mais contas-membro.

Uma conta gerencial é a Conta da AWS que você usa para criar sua organização. Na conta gerencial, é possível fazer o seguinte:

A conta gerencial é a proprietária final da organização, com controle final sobre as políticas de segurança, infraestrutura e finanças. Essa conta tem o papel de uma conta pagadora e é responsável pelo pagamento de todos as cobranças acumuladas pelas contas em sua organização.

Uma conta-membro é uma Conta da AWS diferente da conta gerencial, que faz parte de uma organização. Como um administrador de uma organização, você pode criar contas-membro em sua organização e convidar contas existentes a participarem da organização. Você também pode aplicar políticas a contas-membro.

Recomendamos usar a conta gerencial do  e seus usuários e perfis somente para as tarefas que só podem ser executadas por essa conta. Além disso, recomendamos armazenar todos os seus recursos da AWS em outras contas-membro na organização e mantê-las fora da conta gerencial. Isso porque os recursos de segurança, como as políticas de controle de serviços (SCPs) do Organizations, não restringem usuários ou perfis na conta gerencial. Separar seus recursos da sua conta gerencial também pode ajudar a entender os lançamentos em suas faturas. Na conta gerencial da organização, é possível designar uma ou mais contas-membro como uma conta de administrador delegado para obter ajuda para implementar essa recomendação. Há dois tipos de administradores delegados:

Um convite é uma solicitação feita pela conta gerencial de uma organização para outra conta. Por exemplo, o processo de solicitar que uma conta independente ingresse em uma organização é um convite.

Convites são implementados como handshakes. Talvez você não veja handshakes quando trabalha no console do AWS Organizations. Mas se você usar a AWS CLI ou a API do AWS Organizations, deverá trabalhar diretamente com handshakes.

Um handshake é a troca segura de informações entre duas contas da AWS: um remetente e um destinatário.

Os seguintes handshakes são compatíveis:

Você geralmente precisará interagir diretamente com handshakes somente se trabalhar com a API do AWS Organizations ou ferramentas da linha de comando, como a AWS CLI.

Uma política de controle de serviços é um tipo de política que oferece controle centralizado sobre as permissões máximas disponíveis para usuários do IAM e perfis do IAM em uma organização.

Isso significa que os SCPs especificam controles centrados na entidade principal. Os SCPs criam uma barreira de proteção de permissões ou definem limites para o máximo de permissões disponíveis para as entidades principais em suas contas de membros. Você usa um SCP quando deseja aplicar centralmente controles de acesso consistentes às entidades principais da sua organização.

Isso pode incluir especificar quais serviços seus usuários do IAM e perfis do IAM podem acessar, quais recursos eles podem acessar, ou as condições sob as quais eles podem fazer solicitações (por exemplo, de regiões ou redes específicas). Para obter mais informações, consulte SCPs.

Uma política de controle de recursos é um tipo de política que oferece controle central sobre as permissões máximas disponíveis para os recursos em uma organização .

Isso significa que os RCPs especificam controles centrados em recursos. As RCPs criam uma barreira de proteção de permissões ou definem limites para o máximo de permissões disponíveis para recursos em suas contas de membros. Use um RCP quando quiser aplicar centralmente controles de acesso consistentes a todos os recursos da sua organização.

Isso pode incluir restringir o acesso aos seus recursos para que eles só possam ser acessados por identidades pertencentes à sua organização ou especificar as condições sob as quais identidades externas à sua organização podem acessar seus recursos. Para obter mais informações, consulte RCPs.

Uma política declarativa é um tipo de política que permite declarar e aplicar centralmente as configurações desejadas para um determinado AWS service (Serviço da AWS) em escala em toda a organização. Uma vez estabelecida, a configuração é sempre mantida quando o serviço adiciona novos recursos ou APIs. Para obter mais informações, consulte a política declarativa.

Uma política de backup é um tipo de política que permite gerenciar e aplicar planos de backup de forma centralizada aos recursos da AWS em todas as contas de uma organização. Para obter mais informações, consulte política de backup.

Uma política de marcação é um tipo de política que permite padronizar as marcações atribuídas aos recursos da AWS nas contas de uma organização. Para obter mais informações, consulte a política de marcação.

Uma política de aplicativos de chat é um tipo de política que permite controlar o acesso às contas de uma organização a partir de aplicativos de chat como Slack e Microsoft Teams. Para obter mais informações, consulte Política de aplicativos de chat.

Uma política de exclusão de serviços de IA é um tipo de política que permite controlar a coleta de dados para serviços de IA AWS em todas as contas de uma organização. Para obter mais informações, consulte Política de exclusão de serviços de IA.