Terminologia e conceitos para AWS Organizations

Todos os recursos são o conjunto de recursos padrão que está disponível para AWS Organizations. Você pode definir políticas centrais e requisitos de configuração para uma organização inteira, criar permissões ou recursos personalizados dentro da organização, gerenciar e organizar suas contas em uma única fatura e delegar responsabilidades a outras contas em nome da organização. Você também pode usar integrações com outros Serviços da AWS para definir configurações centrais, mecanismos de segurança, requisitos de auditoria e compartilhamento de recursos em todas as contas-membro em sua organização. Para obter mais informações, consulte Usando AWS Organizations com outros Serviços da AWS.

O modo Todos os recursos fornece todos os recursos de faturamento consolidado junto com os recursos administrativos.

O faturamento consolidado é o conjunto de recursos que fornece a funcionalidade de cobrança compartilhada, mas não inclui os recursos mais avançados do. AWS Organizations Por exemplo, você não pode permitir que outros AWS serviços se integrem à sua organização para funcionar em todas as contas, nem usar políticas para restringir o que usuários e funções em diferentes contas podem fazer.

Você pode habilitar todos os recursos em uma organização que originalmente oferecia suporte apenas aos recursos de faturamento consolidado. Para habilitar todos os recursos, todas as contas-membro convidadas devem aprovar a alteração aceitando o convite enviado quando a conta gerencial inicia o processo. Para obter mais informações, consulte Habilitando todos os recursos de uma organização com AWS Organizations.

Uma organização é um conjunto de Contas da AWS que você pode gerenciar centralmente e organizar em uma estrutura hierárquica em forma de árvore com uma raiz na parte superior e unidades organizacionais aninhadas sob a raiz. Cada conta pode estar diretamente na raiz ou colocada em uma das da OUs hierarquia.

Cada organização consiste em:

Uma organização tem a funcionalidade que é determinada pelo conjunto de recursos que você ativar.

Uma raiz administrativa (raiz) está contida na conta gerencial e é o ponto de partida para organizar suas Contas da AWS. A raiz é o contêiner mais alto na hierarquia da sua organização. Sob essa raiz, você pode criar unidades organizacionais (OUs) para agrupar logicamente suas contas e organizá-las OUs em uma hierarquia que melhor atenda às suas necessidades.

Se você aplicar uma política de gerenciamento à raiz, ela se aplicará a todas as unidades organizacionais (OUs) e contas, incluindo a conta de gerenciamento da organização.

Se você aplicar uma política de autorização (por exemplo, uma política de controle de serviço (SCP)) à raiz, ela se aplicará a todas as unidades organizacionais (OUs) e contas de membros na organização. Ela não se aplica à conta gerencial da organização.

Uma unidade organizacional (OU) é um grupo de Contas da AWSdentro de uma organização. Uma OU também pode conter outras, OUs permitindo que você crie uma hierarquia. Por exemplo, você pode agrupar todas as contas que pertencem ao mesmo departamento em uma OU departamental. Da mesma forma, você pode agrupar todas as contas que executam serviços de segurança em uma OU de segurança.

OUs são úteis quando você precisa aplicar os mesmos controles a um subconjunto de contas em sua organização. O aninhamento OUs permite unidades menores de gerenciamento. Por exemplo, você pode criar OUs para cada carga de trabalho e, em seguida, criar duas aninhadas OUs em cada OU de carga de trabalho para dividir as cargas de trabalho de produção da pré-produção. Eles OUs herdam as políticas da OU principal, além de quaisquer controles atribuídos diretamente à OU em nível de equipe. Incluindo a raiz e Contas da AWS criada na mais baixa OUs, sua hierarquia pode ter cinco níveis de profundidade.

An Conta da AWSé um contêiner para seus AWS recursos. Você cria e gerencia seus AWS recursos em um Conta da AWS, e Conta da AWS fornece recursos administrativos para acesso e cobrança.

Usar vários Contas da AWS é uma prática recomendada para escalar seu ambiente, pois fornece um limite de faturamento para custos, isola recursos para fins de segurança, oferece flexibilidade para indivíduos e equipes, além de ser adaptável a novos processos.

Há dois tipos de contas em uma organização: uma única conta designada como conta gerencial e uma ou mais contas-membro.

Uma conta de gerenciamento é aquela Conta da AWS que você usa para criar sua organização. Na conta gerencial, é possível fazer o seguinte:

A conta gerencial é a proprietária final da organização, com controle final sobre as políticas de segurança, infraestrutura e finanças. Essa conta tem o papel de uma conta pagadora e é responsável pelo pagamento de todos as cobranças acumuladas pelas contas em sua organização.

Uma conta de membro é uma conta Conta da AWS, diferente da conta de gerenciamento, que faz parte de uma organização. Como um administrador de uma organização, você pode criar contas-membro em sua organização e convidar contas existentes a participarem da organização. Você também pode aplicar políticas a contas-membro.

Recomendamos usar a conta gerencial do  e seus usuários e perfis somente para as tarefas que só podem ser executadas por essa conta. Além disso, recomendamos armazenar todos os seus recursos da  AWS  em outras contas-membro na organização e mantê-las fora da conta gerencial. Isso ocorre porque os recursos de segurança, como as políticas de controle de serviços (SCPs) do Organizations, não restringem nenhum usuário ou função na conta de gerenciamento. Separar seus recursos da sua conta gerencial também pode ajudar a entender os lançamentos em suas faturas. Na conta gerencial da organização, é possível designar uma ou mais contas-membro como uma conta de administrador delegado para obter ajuda para implementar essa recomendação. Há dois tipos de administradores delegados:

Um convite é uma solicitação feita pela conta gerencial de uma organização para outra conta. Por exemplo, o processo de solicitar que uma conta independente ingresse em uma organização é um convite.

Convites são implementados como handshakes. Talvez você não veja handshakes quando trabalha no console do AWS Organizations . Mas se você usa a AWS Organizations API AWS CLI or, deve trabalhar diretamente com apertos de mão.

Um aperto de mão é a troca segura de informações entre duas AWS contas: um remetente e um destinatário.

Os seguintes handshakes são compatíveis:

Geralmente, você precisa interagir diretamente com os apertos de mão somente se trabalhar com a AWS Organizations API ou ferramentas de linha de comando, como o. AWS CLI

Uma política de controle de serviços é um tipo de política que oferece controle centralizado sobre as permissões máximas disponíveis para usuários do IAM e perfis do IAM em uma organização.

Isso significa que SCPs especifique controles centrados no principal. SCPs crie uma barreira de permissões ou defina limites para o máximo de permissões disponíveis para diretores em suas contas de membros. Você usa um SCP quando deseja aplicar centralmente controles de acesso consistentes às entidades principais da sua organização.

Isso pode incluir especificar quais serviços seus usuários do IAM e perfis do IAM podem acessar, quais recursos eles podem acessar, ou as condições sob as quais eles podem fazer solicitações (por exemplo, de regiões ou redes específicas). Para obter mais informações, consulte SCPs.

Uma política de controle de recursos é um tipo de política que oferece controle central sobre as permissões máximas disponíveis para os recursos em uma organização .

Isso significa que RCPs especifique controles centrados em recursos. RCPs crie uma barreira de permissões ou defina limites para o máximo de permissões disponíveis para recursos em suas contas de membros. Use um RCP quando quiser aplicar centralmente controles de acesso consistentes a todos os recursos da sua organização.

Isso pode incluir restringir o acesso aos seus recursos para que eles só possam ser acessados por identidades pertencentes à sua organização ou especificar as condições sob as quais identidades externas à sua organização podem acessar seus recursos. Para obter mais informações, consulte RCPs.