As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# O que é AWS Organizations?
**Gerencie centralmente seu ambiente à medida que você expande seus recursos AWS **
AWS Organizations ajuda você a gerenciar e governar centralmente seu ambiente à medida que você cresce e escala seus AWS recursos. Usando o Organizations, você pode criar contas e alocar recursos, agrupar contas para organizar seus fluxos de trabalho, aplicar políticas para fins de governança e simplificar o faturamento usando um único método de pagamento para todas as suas contas.
O Organizations é integrado a outros Serviços da AWS para que você possa definir configurações centrais, mecanismos de segurança, requisitos de auditoria e compartilhamento de recursos entre contas em sua organização. Para obter mais informações, consulte [Usando AWS Organizations com outros Serviços da AWS](orgs_integrate_services.md).
O diagrama a seguir mostra uma explicação de alto nível de como você pode usar o AWS Organizations:
+ Adicionar contas
+ Agrupar contas
+ Aplicar políticas
+ Habilitar Serviços da AWS.
![\[Esta imagem mostra como AWS Organizations funciona: adicionar contas, contas de grupo, aplicar políticas e habilitar Serviços da AWS.\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/organizations-how-it-works.png)
**Topics**
+ [Recursos](#features)
+ [Casos de uso](#use-cases)
+ [Terminologia e conceitos](orgs_getting-started_concepts.md)
+ [Cotas e limites de serviço](orgs_reference_limits.md)
+ [Suporte de região](region-support.md)
+ [Faturamento e preço](pricing.md)
+ [Suporte e feedback](support-and-feedback.md)
## Características para AWS Organizations
AWS Organizations oferece os seguintes recursos:
**Gerencie seu Contas da AWS**
Contas da AWS são limites naturais para permissão, segurança, custos e cargas de trabalho. Usar um ambiente de várias contas é uma prática recomendada ao escalar seu ambiente de nuvem. Você pode simplificar a criação de contas criando programaticamente novas contas usando o AWS Command Line Interface (AWS CLI), ou SDKs APIs, e provisionando centralmente os recursos e permissões recomendados para essas contas com. [AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)
**Defina e gerencie sua organização**
Ao criar novas contas, você pode agrupá-las em unidades organizacionais (OUs) ou grupos de contas que servem a um único aplicativo ou serviço. Aplique políticas de tags para classificar ou rastrear recursos em sua organização e forneça controle de acesso baseado em atributos para usuários ou aplicações. Além disso, você pode delegar a responsabilidade pelo suporte Serviços da AWS às contas para que os usuários possam gerenciá-las em nome da sua organização.
**Proteja e monitore suas contas**
Você pode fornecer ferramentas e acesso centralizados para que sua equipe de segurança gerencie as necessidades de segurança em nome da organização. [Por exemplo, você pode fornecer acesso de segurança somente para leitura em todas as contas, detectar e mitigar ameaças com a [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html), analisar o acesso não intencional aos recursos com o [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) e proteger dados confidenciais com o Amazon Macie.](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html)
**Controle o acesso e as permissões**
Configure o [Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) para fornecer acesso às Contas da AWS e aos recursos usando seu Active Directory e personalize as permissões com base em diferentes funções de trabalho. Você também pode aplicar [políticas da organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html) a usuários, contas ou OUs. Por exemplo, [as políticas de controle de serviços (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) permitem que você controle o acesso a AWS recursos, serviços e regiões em sua organização. [As políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) permitem que você evite centralmente o uso não intencional de seus AWS recursos. As [políticas de aplicativos de chat](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_chatbot.html) permitem que você controle o acesso às contas da sua organização por meio de aplicativos de chat, como Slack e Microsoft Teams.
**Compartilhe recursos entre contas**
Você pode compartilhar AWS recursos em sua organização usando [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html). Por exemplo, crie sub-redes da [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) uma vez e as compartilhe-as em toda a organização. Você também pode concordar centralmente com licenças de software usando o [AWS License Manager](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager.html) e compartilhar um catálogo de serviços de TI e produtos personalizados entre contas com o [AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html).
**Audite seu ambiente para verificar a conformidade**
Você pode ativar várias contas do [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), o que cria um log de todas as atividades em seu ambiente de nuvem que não podem ser desativadas ou modificadas pelas contas dos membros. Além disso, você pode definir políticas para impor backups na cadência especificada ou definir as configurações recomendadas para recursos em todas as contas e Regiões da AWS com [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html). [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
**Gerencie centralmente o faturamento e os custos**
O Organizations fornece uma única fatura consolidada. Além disso, você pode visualizar o uso de recursos em todas as contas, monitorar os custos usando o [AWS Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html) e otimizar o uso dos recursos de computação com o [AWS Compute Optimizer](https://docs.aws.amazon.com/managedservices/latest/userguide/compute-optimizer.html).
## Casos de uso para AWS Organizations
A seguir estão alguns casos de uso para AWS Organizations:
**Automatize a criação Contas da AWS e categorize as cargas de trabalho**
Você pode automatizar a criação de Contas da AWS para lançar rapidamente novas cargas de trabalho. Adicione as contas a grupos definidos pelo usuário para aplicação instantânea de políticas de segurança, implantações de infraestrutura sem contato e auditoria. Crie grupos separados para categorizar contas de desenvolvimento e produção e use [AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)para provisionar serviços e permissões para cada grupo.
**Definir e aplicar políticas de auditoria e conformidade**
Você pode aplicar políticas de controle de serviço (SCPs) para garantir que seus usuários realizem somente as ações que atendam aos seus requisitos de segurança e conformidade. Crie um log central de todas as ações realizadas em sua organização usando o [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html). Visualize e aplique configurações de recursos padrão em todas as contas e Regiões da AWS usando. [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) Aplique automaticamente backups regulares usando o [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html). Use [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)para aplicar regras de governança predefinidas para segurança, operações e conformidade de suas AWS cargas de trabalho.
**Forneça ferramentas e acesso para suas equipes de segurança e, ao mesmo tempo, incentive o desenvolvimento**
Crie um grupo de segurança e forneça a ele acesso somente de leitura a todos os seus recursos para identificar e mitigar problemas de segurança. Você pode permitir que esse grupo gerencie a [Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) para que eles GuardDuty possam monitorar e mitigar ativamente as ameaças às suas cargas de trabalho, e o [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) identifique rapidamente o acesso não intencional aos seus recursos.
**Compartilhe recursos comuns entre contas**
O Organizations facilita o compartilhamento de recursos centrais essenciais em todas as contas. Por exemplo, você pode compartilhar sua [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) central para que as aplicações possam acessar seu armazenamento central de identidades.
**Compartilhe recursos centrais essenciais em suas contas**
Compartilhe seu [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) como um armazenamento central de identidades para suas aplicações. Use o [AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html) para compartilhar serviços de TI em contas designadas para que os usuários possam descobrir e implantar rapidamente os serviços aprovados. [Garanta que os recursos de aplicação sejam criados em suas sub-redes da [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) definindo-as centralmente uma vez e compartilhando-as em toda a organização usando o AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).
# Terminologia e conceitos para AWS Organizations
Este tópico explica alguns dos principais conceitos do AWS Organizations.
O diagrama a seguir mostra uma organização que consiste em cinco contas organizadas em quatro unidades organizacionais (OUs) abaixo da raiz. A organização também tem várias políticas vinculadas a algumas OUs ou diretamente às contas.
Para obter uma descrição de cada um desses itens, consulte as definições neste tópico.
![\[Diagrama de organização básica\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/AccountOuDiagram.png)
**Topics**
+ [Conjuntos de recursos disponíveis](#feature-set)
+ [Estrutura da organização](#organization-structure)
+ [Convites e handshakes](#invitations-handshakes)
+ [Políticas organizacionais](#organization-policies)
## Conjuntos de recursos disponíveis
**Todos os recursos (recomendado)**
*Todos os recursos* são o conjunto de recursos padrão que está disponível para AWS Organizations. Você pode definir políticas centrais e requisitos de configuração para uma organização inteira, criar permissões ou recursos personalizados dentro da organização, gerenciar e organizar suas contas em uma única fatura e delegar responsabilidades a outras contas em nome da organização. Você também pode usar integrações com outros Serviços da AWS para definir configurações centrais, mecanismos de segurança, requisitos de auditoria e compartilhamento de recursos em todas as contas-membro em sua organização. Para obter mais informações, consulte [Usando AWS Organizations com outros Serviços da AWS](orgs_integrate_services.md).
O modo Todos os recursos fornece todos os recursos de faturamento consolidado junto com os recursos administrativos.
**Faturamento consolidado**
O *faturamento consolidado* é o conjunto de recursos que fornece a funcionalidade de cobrança compartilhada, mas não inclui os recursos mais avançados do. AWS Organizations Por exemplo, você não pode permitir que outros AWS serviços se integrem à sua organização para funcionar em todas as contas, nem usar políticas para restringir o que usuários e funções em diferentes contas podem fazer.
Você pode habilitar todos os recursos em uma organização que originalmente oferecia suporte apenas aos recursos de faturamento consolidado. Para habilitar todos os recursos, todas as contas-membro convidadas devem aprovar a alteração aceitando o convite enviado quando a conta gerencial inicia o processo. Para obter mais informações, consulte [Habilitando todos os recursos de uma organização com AWS Organizations](orgs_manage_org_support-all-features.md).
## Estrutura da organização
**Organização**
Uma *organização* é um conjunto de [Contas da AWS](#account) que você pode gerenciar centralmente e organizar em uma estrutura hierárquica em forma de árvore com uma [raiz](#root) na parte superior e [unidades organizacionais](#organizationalunit) aninhadas sob a raiz. Cada conta pode estar diretamente na raiz ou colocada em uma das da OUs hierarquia.
Cada organização consiste em:
+ Uma [conta gerencial](#management-account)
+ Zero ou mais [contas-membro](#member-account)
+ Zero ou mais [unidades organizacionais (OUs)](#organizationalunit)
+ Zero ou mais [políticas](#organization-policies)
Uma organização tem a funcionalidade que é determinada pelo [conjunto de recursos](#feature-set) que você ativar.
**Raiz**
Uma *raiz administrativa (raiz)* está contida na [conta gerencial](#management-account) e é o ponto de partida para organizar suas [Contas da AWS](#management-account). A raiz é o contêiner mais alto na hierarquia da sua organização. Sob essa raiz, você pode criar [unidades organizacionais (OUs)](#organizationalunit) para agrupar logicamente suas contas e organizá-las OUs em uma hierarquia que melhor atenda às suas necessidades.
Se você aplicar uma [política de gerenciamento](#management-policies) à raiz, ela se aplicará a todas as [unidades organizacionais (OUs)](#organizationalunit) e [contas](#account), incluindo a conta de gerenciamento da organização.
Se você aplicar uma política de autorização (por exemplo, uma política de controle de serviço (SCP)) à raiz, ela se aplicará a todas as unidades organizacionais (OUs) e [contas de membros](#member-account) na organização. Ela não se aplica à conta gerencial da organização.
Você só pode ter uma raiz. AWS Organizations cria automaticamente a raiz para você quando você cria uma organização.
**Unidade organizacional (UO)**
Uma *unidade organizacional (OU)* é um grupo de [Contas da AWS](#account)dentro de uma organização. Uma OU também pode conter outras, OUs permitindo que você crie uma hierarquia. Por exemplo, você pode agrupar todas as contas que pertencem ao mesmo departamento em uma OU departamental. Da mesma forma, você pode agrupar todas as contas que executam serviços de segurança em uma OU de segurança.
OUs são úteis quando você precisa aplicar os mesmos controles a um subconjunto de contas em sua organização. O aninhamento OUs permite unidades menores de gerenciamento. Por exemplo, você pode criar OUs para cada carga de trabalho e, em seguida, criar duas aninhadas OUs em cada OU de carga de trabalho para dividir as cargas de trabalho de produção da pré-produção. Eles OUs herdam as políticas da OU principal, além de quaisquer controles atribuídos diretamente à OU em nível de equipe. Incluindo a [raiz](#root) e Contas da AWS criada na mais baixa OUs, sua hierarquia pode ter cinco níveis de profundidade.
**Conta da AWS**
An *Conta da AWS*é um contêiner para seus AWS recursos. Você cria e gerencia seus AWS recursos em um Conta da AWS, e Conta da AWS fornece recursos administrativos para acesso e cobrança.
Usar vários Contas da AWS é uma prática recomendada para escalar seu ambiente, pois fornece um limite de faturamento para custos, isola recursos para fins de segurança, oferece flexibilidade para indivíduos e equipes, além de ser adaptável a novos processos.
Uma AWS conta é diferente de um usuário. Um [usuário ](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_identity-management.html#intro-identity-users) é uma identidade que você cria usando o AWS Identity and Access Management (IAM), sendo um [usuário do IAM com credenciais de longo prazo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) ou um [perfil do IAM com credenciais de curto prazo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html). Uma única AWS conta pode, e normalmente contém, muitos usuários e funções.
Há dois tipos de contas em uma organização: uma única conta designada como [conta gerencial](#management-account) e uma ou mais [contas-membro](#member-account).
**conta gerencial**
*Uma conta de gerenciamento* é aquela Conta da AWS que você usa para criar sua organização. Na conta gerencial, é possível fazer o seguinte:
+ Criar outras contas em sua organização
+ [Convidar e gerenciar convites](#invitations-handshakes) para que outras contas ingressem na sua organização
+ Designar [contas de administrador delegado](#delegated-admin)
+ Remover contas da organização
+ Anexe políticas a entidades como [raízes](#root), [unidades organizacionais (OUs)](#organizationalunit) ou contas em sua organização
+ Habilite a integração com AWS os serviços suportados para fornecer funcionalidade de serviço em todas as contas da organização.
A conta gerencial é a proprietária final da organização, com controle final sobre as políticas de segurança, infraestrutura e finanças. Essa conta tem o papel de uma conta pagadora e é responsável pelo pagamento de todos as cobranças acumuladas pelas contas em sua organização.
**Observações**
+ Você não pode alterar qual conta em sua organização é a conta gerencial.
+ A conta gerencial não precisa estar diretamente sob a raiz, ela pode ser colocada em qualquer lugar na organização.
**Conta de membro**
Uma *conta de membro* é uma conta Conta da AWS, diferente da conta de gerenciamento, que faz parte de uma organização. Como um [administrador](#delegated-admin) de uma organização, você pode criar contas-membro em sua organização e convidar contas existentes a participarem da organização. Você também pode aplicar políticas a contas-membro.
Uma conta-membro pode pertencer a apenas uma organização por vez. Você pode designar contas-membro para serem contas de administrador delegado.
**Administrador delegado**
Recomendamos usar a conta gerencial do e seus usuários e perfis somente para as tarefas que só podem ser executadas por essa conta. Além disso, recomendamos armazenar todos os seus recursos da AWS em outras contas-membro na organização e mantê-las fora da conta gerencial. Isso ocorre porque os recursos de segurança, como as políticas de controle de serviços (SCPs) do Organizations, não restringem nenhum usuário ou função na conta de gerenciamento. Separar seus recursos da sua conta gerencial também pode ajudar a entender os lançamentos em suas faturas. Na conta gerencial da organização, é possível designar uma ou mais contas-membro como uma conta de administrador delegado para obter ajuda para implementar essa recomendação. Há dois tipos de administradores delegados:
+ Administrador delegado para Organizations: A partir dessas contas, você pode gerenciar as políticas da organização e anexar políticas às entidades (raízes ou contas) dentro da organização. OUs A conta gerencial pode controlar as permissões de delegação em níveis granulares. Para obter mais informações, consulte [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
+ Administrador delegado de um AWS serviço: a partir dessas contas, você pode gerenciar AWS serviços que se integram ao Organizations. A conta gerencial pode registrar diferentes contas-membro como administradores delegados para diferentes serviços, conforme necessário. Essas contas têm permissões administrativas para um serviço específico, bem como permissões para ações somente leitura do Organizations. Para obter mais informações, consulte [Administrador delegado para Serviços da AWS esse trabalho com Organizations](orgs_integrate_delegated_admin.md).
## Convites e handshakes
**Convite**
Um *convite* é uma solicitação feita pela conta gerencial de uma organização para outra [conta](#account). Por exemplo, o processo de solicitar que uma conta independente ingresse em uma [organização](#org) é um convite.
Convites são implementados como [handshakes](#handshake). Talvez você não veja handshakes quando trabalha no console do AWS Organizations . Mas se você usa a AWS Organizations API AWS CLI or, deve trabalhar diretamente com apertos de mão.
**Handshake**
Um *aperto de mão* é a troca segura de informações entre duas AWS contas: um remetente e um destinatário.
Os seguintes handshakes são compatíveis:
+ **INVITE**: handshake enviado para uma conta independente para que ela ingresse na organização do remetente.
+ **ENABLE\$1ALL\$1FEATURES**: handshake enviado às contas dos membros convidados para habilitar todos os recursos da organização.
+ **APPROVE\$1ALL\$1FEATURES**: handshake enviado para a conta gerencial quando todas as contas de membros convidados aprovaram a ativação de todos os recursos.
Geralmente, você precisa interagir diretamente com os apertos de mão somente se trabalhar com a AWS Organizations API ou ferramentas de linha de comando, como o. AWS CLI
## Políticas organizacionais
Uma *política* é um “documento” com uma ou mais declarações que definem os controles que você deseja aplicar a um grupo de Contas da AWS. AWS Organizations suporta políticas de autorização e políticas de gerenciamento.
### Políticas de autorização
As políticas de autorização ajudam você a gerenciar centralmente a segurança de Contas da AWS toda a organização.
**Política de controle de serviço (SCP - service control policy)**
Uma *política de controle de serviços* é um tipo de política que oferece controle centralizado sobre as permissões máximas disponíveis para usuários do IAM e perfis do IAM em uma organização.
Isso significa que SCPs especifique controles centrados no principal. SCPs crie uma barreira de permissões ou defina limites para o máximo de permissões disponíveis para diretores em suas contas de membros. Você usa um SCP quando deseja aplicar centralmente controles de acesso consistentes às entidades principais da sua organização.
Isso pode incluir especificar quais serviços seus usuários do IAM e perfis do IAM podem acessar, quais recursos eles podem acessar, ou as condições sob as quais eles podem fazer solicitações (por exemplo, de regiões ou redes específicas). Para obter mais informações, consulte [SCPs](orgs_manage_policies_scps.md).
**Política de controle de recursos (RCP)**
Uma *política de controle de recursos* é um tipo de política que oferece controle central sobre as permissões máximas disponíveis para os recursos em uma organização .
Isso significa que RCPs especifique controles centrados em recursos. RCPs crie uma barreira de permissões ou defina limites para o máximo de permissões disponíveis para recursos em suas contas de membros. Use um RCP quando quiser aplicar centralmente controles de acesso consistentes a todos os recursos da sua organização.
Isso pode incluir restringir o acesso aos seus recursos para que eles só possam ser acessados por identidades pertencentes à sua organização ou especificar as condições sob as quais identidades externas à sua organização podem acessar seus recursos. Para obter mais informações, consulte [RCPs](orgs_manage_policies_rcps.md).
### Políticas de gerenciamento
As políticas de gerenciamento ajudam você a configurar Serviços da AWS e gerenciar centralmente seus recursos em uma organização.
+ **[As políticas declarativas](orgs_manage_policies_declarative.md)** permitem que você declare e aplique centralmente as configurações desejadas para uma determinada empresa em grande escala AWS service (Serviço da AWS) em toda a organização. Uma vez conectada, a configuração é sempre mantida quando o serviço adiciona novos recursos ou APIs.
+ **[As políticas de backup](orgs_manage_policies_backup.md)** permitem que você gerencie e aplique centralmente os planos de backup aos AWS recursos nas contas de uma organização.
+ **[As políticas de tags](orgs_manage_policies_tag-policies.md)** permitem padronizar as tags anexadas aos AWS recursos nas contas de uma organização.
+ As **[políticas de aplicativos de chat](orgs_manage_policies_chatbot.md)** permitem que você controle o acesso às contas da sua organização por meio de aplicativos de chat, como Slack e Microsoft Teams.
+ **[As políticas de exclusão de serviços de IA](orgs_manage_policies_ai-opt-out.md)** permitem que você controle a coleta de dados para serviços de AWS IA em todas as contas de uma organização.
+ As **[políticas do Security Hub](orgs_manage_policies_security_hub.md)** permitem que você resolva as lacunas de cobertura de segurança que se alinham aos requisitos de segurança da sua organização e as aplique centralmente em toda a organização.
+ **[As políticas do Amazon Inspector](orgs_manage_policies_inspector.md)** permitem que você habilite e gerencie centralmente o Amazon Inspector em todas as contas da sua organização. AWS
+ **[As políticas do Amazon Bedrock](orgs_manage_policies_bedrock.md)** permitem que você aplique proteções configuradas no Amazon Bedrock Guardrails automaticamente em qualquer elemento da estrutura da sua organização para todas as chamadas de inferência de modelo para o Amazon Bedrock.
+ **[As políticas de implantação de atualizações](orgs_manage_policies_upgrade_rollout.md)** permitem que você gerencie e escalone centralmente as atualizações automáticas em vários AWS recursos e contas em sua organização.
+ **[As políticas do Amazon S3](orgs_manage_policies_s3.md)** permitem que você gerencie centralmente as configurações dos recursos do Amazon S3 em escala em todas as contas de uma organização.
+ **[AWS Shield As políticas do Network Security Director](orgs_manage_policies_network_security_director.md)** permitem que você ative e gerencie centralmente o AWS Shield Network Security Director em todas as contas de uma organização.
# Cotas e limites de serviço para AWS Organizations
Este tópico descreve cotas e limites de serviço para AWS Organizations.
## Diretrizes de nomenclatura
A seguir estão as diretrizes para nomes que você cria em AWS Organizations, incluindo nomes de contas, unidades organizacionais (OUs), raízes e políticas:
+ Os nomes devem ser compostos por caracteres Unicode.
+ O comprimento máximo da sequência para nomes varia de acordo com o objeto. Para obter informações sobre o limite real de cada objeto, consulte a [Referência de API do AWS Organizations](https://docs.aws.amazon.com/organizations/latest/APIReference/), encontre a operação da API que cria o objeto e veja os detalhes do parâmetro `Name` dessa operação. Por exemplo: [Account name (Nome da conta)](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreateAccount.html#organizations-CreateAccount-request-AccountName) ou [UO name (Nome da UO)](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreateOrganizationalUnit.html#organizations-CreateOrganizationalUnit-request-Name).
## Considerações
Os códigos de cota de serviço podem mudar com o tempo devido às atualizações. Isso não afeta os valores nem os nomes das cotas. Para encontrar o código de cota para uma cota específica, use a [ListServiceQuotas](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_ListServiceQuotas.html)operação e procure a `QuotaCode` resposta na saída da cota desejada.
## Valores máximo e mínimo
A seguir estão os valores máximos ***padrão*** para entidades em AWS Organizations.
**nota**
Considere as seguintes informações sobre AWS Organizations cotas:
Você pode solicitar o aumento de alguns desses valores usando o [console do Service Quotas](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/organizations/quotas).
AWS Organizations os limites se aplicam no nível da organização, a menos que especificado de outra forma. Muitas cotas aplicam-se somente a ações executadas na conta gerencial do AWS Organizations .
AWS Organizations é um serviço global hospedado fisicamente na região Leste dos EUA (Norte da Virgínia) (`us-east-1`). Portanto, você deve usar `us-east-1` para acessar essas cotas ao usar o console Service Quotas, AWS CLI o ou AWS um SDK.
****
| Description | Limite |
| --- | --- |
| Número máximo de contas | 10 — O número máximo de contas permitido em uma organização. Essa cota é ajustável e pode ser aumentada usando o [console do Service Quotas](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/organizations/quotas). **Nota:** somente a conta gerencial de uma organização pode enviar essa solicitação de aumento de cota. Os aumentos de limite podem ser concedidos para até 50.000 contas com base nas qualificações e requisitos do cliente. As contas e organizações recém-criadas podem ter uma cota abaixo do padrão de 10 contas. Um convite enviado para uma conta é contabilizado como uma cota. A contagem é revertida se a conta convidada recusa, a conta gerencial cancela o convite ou a validade do convite expira. Quando uma conta é fechada, ela não para de contar com essa cota até que seja fechada permanentemente. Para obter mais informações sobre quando uma conta é encerrada permanentemente, consulte [Período pós-encerramento](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period) no *Guia de referência do AWS Gerenciamento de contas *. Alguns serviços têm limites de conta diferentes do número máximo de contas permitidas em uma organização. Para obter mais informações, consulte [Limites por AWS serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html#min-max-service-limits). |
| Período mínimo para remoção das contas criadas | Cada Região com suporte: 7 — O número mínimo de dias em que uma conta criada deve existir antes que você possa removê-la da organização |
| Número de raízes em uma organização | 1 |
| Número de OUs em uma organização | 2000 |
| Número de políticas de cada tipo em uma organização | Políticas de controle de serviço: 10.000 Políticas de controle de recursos: 1000 Políticas declarativas: 1000 Políticas de backup: 1000 Políticas de tag: 1000 Políticas de aplicativos de chat: 1000 Políticas de recusa de serviços de IA: 1000 Políticas de Security Hub: 1000 |
| Tamanho máximo de um documento de política | Políticas de controle de serviço: 5120 caracteres Políticas de controle de recursos: 5120 caracteres Políticas declarativas: 10.000 caracteres Políticas de backup: 10.000 caracteres Políticas de aplicativos de chat: 10.000 caracteres Políticas de exclusão de serviços de IA: 2500 caracteres Políticas de tag: 10.000 caracteres Políticas de Security Hub: 10.000 caracteres **Observação:** se você salvar a política usando o Console de gerenciamento da AWS, o espaço em branco extra (como espaços e quebras de linha) entre elementos JSON e fora das aspas será removido e não contado. Se você salvar a política usando uma operação do SDK ou a AWS CLI, a política será salva exatamente como você forneceu e nenhuma remoção automática de caracteres ocorrerá. |
| Aninhamento máximo UO em uma raiz | Cinco níveis de OUs profundidade abaixo de uma raiz. |
| O número máximo de tentativas de convite que você pode realizar em um período de 24 horas | 20 ou o número máximo de contas permitidas na sua organização, o que for maior. Os convites aceitos não são considerados nessa cota. Assim que um convite é aceito, você pode enviar outro convite no mesmo dia. Se o número máximo de contas permitido na sua organização for inferior a 20, você receberá uma exceção de "account limit exceeded (limite de conta excedido)" se tentar convidar mais contas do que a sua organização pode comportar. No entanto, você pode cancelar convites e enviar novos até o máximo de 20 tentativas em um dia. |
| Número de contas-membros que você pode criar simultaneamente | 5 — Assim que uma é concluída, você pode iniciar outra, mas apenas cinco podem estar em andamento de cada vez. |
| Número de contas que é possível encerrar em um período de 30 dias | 20% das contas de membros em organizações ou 250, o que for maior, com um máximo de 1.000. Esta cota não é ajustável. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/orgs_reference_limits.html) Depois de atingir essa cota, você pode fechar contas adicionais ou aguardar até que sua cota seja redefinida. Para obter mais informações, consulte [Fechar uma AWSAWS conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) *no Guia de gerenciamento de contas*. |
| Número de contas-membros que você pode encerrar simultaneamente | Três: só é possível ter três encerramentos de conta em andamento ao mesmo tempo. Assim que o processamento de uma terminar, você pode encerrar outra conta. |
| Número de entidades às quais você pode anexar uma política | Ilimitado |
| Número de tags que você pode anexar a uma raiz, UO ou conta | 50 |
| Tamanho máximo da política de delegação baseada em recursos | 40 mil caracteres |
### Limites por AWS serviço
A maioria Serviços da AWS suporta o número máximo declarado de contas que você pode ter em uma organização. Contudo, alguns serviços têm limites de conta diferentes do número máximo de contas permitidas em uma organização.
As tabelas a seguir mostram serviços com limites de conta diferentes.
****
| AWS serviço | Limite | Pode ser aumentada | Documentação do serviço |
| --- | --- | --- | --- |
| AWS Directory Service (O compartilhamento de diretórios está disponível para AWS Managed Microsoft AD) | A capacidade da conta de compartilhamento de diretórios varia de acordo com a edição. | Sim | [Directory Service Cotas](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_limits.html) |
| AWS Audit Manager | 250 | Sim | [AWS Audit Manager Cotas](https://docs.aws.amazon.com/general/latest/gr/audit-manager.html) |
| Amazon Detective | 1200 | Sim | [Cotas do Amazon Detective](https://docs.aws.amazon.com/detective/latest/userguide/regions-limitations.html) |
| Centro de Identidade do AWS IAM | 3000 | Sim | [Centro de Identidade do AWS IAM Cotas](https://docs.aws.amazon.com/singlesignon/latest/userguide/limits.html) |
| AWS Application Migration Service | 5000 | Não | [AWS Cotas](https://docs.aws.amazon.com/mgn/latest/ug/MGN-service-limits.html) |
| AWS Security Hub | 10000 | Não | [AWS Security Hub Cotas](https://docs.aws.amazon.com/general/latest/gr/sechub.html) |
| Amazon Macie | 10000 | Não | [Cotas do Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/macie-quotas.html) |
| AWS Control Tower | 10000 | Não | [AWS Control Tower Cotas](https://docs.aws.amazon.com/controltower/latest/userguide/limits.html) |
| Amazon Inspector | 10000 | Não | [Cotas do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/quotas.html) |
| AWS Firewall Manager | 10000 | Sim | [AWS Firewall Manager Cotas](https://docs.aws.amazon.com/waf/latest/developerguide/fms-limits.html) |
| DevOpsGuru da Amazon | 10000 | Sim | [Cotas do Amazon DevOps Guru](https://docs.aws.amazon.com/devops-guru/latest/userguide/quotas.html) |
## Tempos de expiração para handshakes
A seguir estão os tempos limite para apertos de mão. AWS Organizations
****
| Description | Limite |
| --- | --- |
| Convite para participar de uma organização | 15 dias |
| Solicitação para ativar todos os recursos em uma organização | 90 dias |
| O handshake é excluído e não aparece mais em listas | 30 dias após a conclusão do handshake |
## Número de políticas que você pode anexar a uma entidade
O mínimo e o máximo dependem do tipo de política e da entidade à qual você está anexando a política. A tabela a seguir mostra cada tipo de política e o número de entidades às quais você pode anexar cada tipo.
**nota**
Esses números se aplicam somente às políticas diretamente vinculadas a uma UO ou a uma conta. Políticas que afetam uma UO ou conta por herança ***não*** contam para esses limites. Todos os limites de políticas são limites fixos.
****
| Tipo de política | Mínimo anexado a uma entidade | Máximo anexado à raiz | Máximo anexado por UO | Máximo anexado por conta |
| --- | --- | --- | --- | --- |
| Política de controle de serviço | 1 — Cada entidade deve ter pelo menos um SCP anexado o tempo todo quando você habilita SCPs. Não é possível remover a última SCP de uma entidade. | 5 | 5 | 5 |
| Política de controle de recursos | 1 — A RCPFullAWSAccess política é anexada automaticamente à raiz, a cada UO e a cada conta da sua organização quando você a habilita RCPs. Você não pode desanexar essa política e ela conta para a cota de 5 políticas. | 5 | 5 | 5 |
| Política declarativa | 0 | 10 | 10 | 10 |
| Política de backup | 0 | 10 | 10 | 10 |
| Política de tag | 0 | 10 | 10 | 10 |
| Política de aplicativos de chat | 0 | 5 | 5 | 5 |
| Política de exclusão dos serviços de IA | 0 | 5 | 5 | 5 |
| Política do Security Hub | 0 | 10 | 10 | 10 |
**nota**
Você pode ter apenas uma raiz em uma organização.
## Limites de controle de utilização
As tabelas a seguir listam AWS Organizations APIs por categoria de gerenciamento e mostram suas respectivas taxas de aceleração no nível da conta e da organização.
AWS Organizations usa o [algoritmo de token bucket](https://en.wikipedia.org/wiki/Token_bucket) para implementar a limitação de API. Com esse algoritmo, sua conta tem um *bucket* que contém um número específico de *tokens*. O número de tokens no bucket representa sua cota de controle de utilização a qualquer segundo.
*Taxa* é o ritmo fixo com que os tokens são adicionados ao bucket de tokens por segundo.
*Intermitência* é o número máximo de tokens que podem ser adicionados e o número máximo de tokens que podem ser usados por segundo.
Por exemplo, a API `DescribeAccount` é limitada a uma Conta da AWS a 20 solicitações por segundo como taxa básica e a 30 solicitações por segundo como taxa de intermitência. A taxa de intermitência de 30 solicitações por segundo permite que você exceda temporariamente a taxa básica de 20 solicitações por segundo.
Você pode fazer 20 solicitações no primeiro segundo, que é a taxa básica. No segundo seguinte, você pode fazer 30 solicitações, excedendo a taxa básica, mas permanecendo dentro da taxa de intermitência de 30. No entanto, no terceiro segundo, se você tentar fazer mais de 20 solicitações, você será limitado, pois excedeu a taxa básica e a capacidade de expansão foi usada.
A taxa de intermitência permite lidar com picos temporários no tráfego sem ser limitado, desde que a média de solicitações por segundo permaneça dentro do limite básico ao longo do tempo.
### Limites de gerenciamento da conta
A tabela a seguir lista os AWS Organizations APIs para gerenciamento de contas.
****
| AWS Organizations API | Por limite por conta (taxa, pico) | Por limite por organização (taxa, pico) |
| --- | --- | --- |
| CloseAccount | ,05, 1 | |
| CreateAccount, CreateGovCloudAccount | 0,1, 3 | |
| DescribeAccount | 20, 30 | 24, 36 |
| DescribeCreateAccountStatus | 2, 2 | 2, 3 |
| LeaveOrganization | 1, 1 | |
| ListCreateAccountStatus | 5, 8 | 6, 10 |
### Limites de gerenciamento de handshake
A tabela a seguir lista o AWS Organizations APIs handshake da conta.
****
| AWS Organizations API | Por limite por conta (taxa, pico) | Por limite por organização (taxa, pico) |
| --- | --- | --- |
| AcceptHandshake | 1, 2 | 5, 5 |
| DescribeHandshake | 1, 2 | 6, 10 |
| CancelHandshake | 2, 3 | |
| DeclineHandshake | 1, 1 | 5, 5 |
| InviteAccountToOrganization | 3, 5 | |
| ListHandshakesForAccount, ListHandshakesForOrganization | 5, 8 | 6, 10 |
### Limites de gerenciamento da organização
A tabela a seguir lista os AWS Organizations APIs para gerenciamento da organização.
****
| AWS Organizations API | Por limite por conta (taxa, pico) | Por limite por organização (taxa, pico) |
| --- | --- | --- |
| CreateOrganization, DeleteOrganization, EnableFullControl | 1, 1 | |
| CreateOrganizationalUnit, DescribeOrganization | 1, 2 | |
| MoveAccount, UpdateOrganizationalUnit, DeleteOrganizationalUnit | 2, 3 | |
| DescribeOrganizationalUnit | 2, 2 | 2, 3 |
| ListAccounts | 8, 12 | 9, 15 |
| ListChildren | 6, 10 | 7, 12 |
| ListParents, ListAccountsForParent, ListOrganizationalUnitsForParent | 5, 8 | 6, 10 |
| ListRoots | 1, 2 | 1, 3 |
| ListTagsForResource | 10, 15 | 12, 18 |
| RemoveAccountFromOrganization | 2, 2 | |
| TagResource, UntagResource | 4, 6 | |
### Limites de gerenciamento de políticas
A tabela a seguir lista os AWS Organizations APIs para gerenciamento de políticas.
****
| AWS Organizations API | Por limite por conta (taxa, pico) | Por limite por organização (taxa, pico) |
| --- | --- | --- |
| CreatePolicy, DeletePolicy, AttachPolicy, DetachPolicy | 2, 3 | |
| DescribePolicy | 2, 2 | 2, 3 |
| DisablePolicyType, EnablePolicyType | 1, 1 | |
| ListPolicies, ListPoliciesForTarget, ListTargetsForPolicy | 5, 8 | 6, 10 |
| UpdatePolicy | 2, 3 | |
### Limites de gerenciamento do serviço
A tabela a seguir lista os AWS Organizations APIs para gerenciamento de serviços.
****
| AWS Organizations API | Por limite por conta (taxa, pico) | Por limite por organização (taxa, pico) |
| --- | --- | --- |
| Ativar AWSService acesso, desativar AWSService acesso | 1, 2 | |
| Lista AWSServiceAccessForOrganization, ListDelegatedServicesForAccount | 1, 3 | 1, 4 |
| ListDelegatedAdministrators | 5, 8 | 6, 10 |
| RegisterDelegatedAdministrator, DeregisterDelegatedAdministrator | 1, 2 | |
# Suporte regional para AWS Organizations
AWS Organizations está disponível em todas as regiões AWS comerciais AWS GovCloud (US) Regions e regiões da China.
Para obter uma lista das diferenças de funcionalidade em AWS GovCloud (US) Regions, consulte [AWS Organizations em AWS GovCloud (US)](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-organizations.html).
Para obter uma lista das diferenças de funcionalidade nas regiões da China, consulte [AWS Organizations na China](https://docs.amazonaws.cn/en_us/aws/latest/userguide/organizations.html).
**Os endpoints de serviço para o Organizations estão localizados**:
+ No Leste dos EUA (Norte da Virgínia) para organizações comerciais
+ Em AWS GovCloud (Oeste dos EUA) para organizações AWS GovCloud (US)
+ Na China (Ningxia) para organizações chinesas, operadas pela Ningxia Western Cloud Data Technology Co. Ltd (NWCD).
Todas as entidades organizacionais são acessíveis globalmente, exceto as organizações gerenciadas na China, da mesma forma que o AWS Identity and Access Management (IAM) funciona atualmente. Você não precisa especificar uma Região da AWS ao criar e gerenciar sua organização, mas precisará criar uma organização separada para contas usadas na China. Os usuários em sua região Contas da AWS podem usar Serviços da AWS em qualquer região geográfica em que esse serviço esteja disponível.
**nota**
**As políticas de tags são aceitas somente em um subconjunto de regiões**
Aspolíticas de tag são um tipo de política que pode ajuda você a padronizar tags entre recursos nas contas da organização. As políticas de tags são aceitas somente em um subconjunto de regiões em que Organizations é suportado. Para ver uma lista das regiões em que as políticas de tags são aceitas, consulte [Políticas de tags \$1 Regiões compatíveis](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-supported-regions.html).
## Lista de disponíveis Regiões da AWS
A tabela a seguir lista todas as Regiões da AWS disponíveis.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/region-support.html)
# Cobrança e preços para AWS Organizations
AWS Organizations é oferecido sem custo adicional. Você é cobrado somente pelos AWS recursos que os usuários e funções em suas contas de membros usam. Por exemplo, são cobradas as tarifas padrão para as instâncias do Amazon EC2 usadas pelos usuários ou pelas funções nas suas contas-membro. Para obter informações sobre os preços de outros AWS serviços, consulte [AWS Preços](https://aws.amazon.com/pricing/services/).
## Quem paga pelo uso incorrido pelos usuários em uma conta de AWS membro na minha organização?
O proprietário da [conta de gerenciamento](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#management-account) é responsável por pagar por todo o uso, dados e recursos usados pelas contas na organização.
## Minha fatura refletirá a estrutura da unidade organizacional que eu criei na minha organização?
Sua fatura não refletirá a estrutura que você definiu em sua organização. Você pode usar [etiquetas de alocação de custos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) individualmente Contas da AWS para categorizar e rastrear seus AWS custos, e essa alocação ficará visível na fatura consolidada de sua organização.
# Support e feedback para AWS Organizations
Os seus comentários são bem-vindos. Você pode publicar seus comentários e perguntas no nosso [fórum de suporte do AWS Organizations](https://forums.aws.amazon.com/forum.jspa?forumID=219). Para obter mais informações sobre os fóruns de AWS Support, consulte [a Ajuda do Forums](https://forums.aws.amazon.com/help.jspa).
## Outros AWS recursos
+ **[AWS Treinamento e cursos](https://aws.amazon.com/training/course-descriptions/)** — Links para cursos especializados e baseados em funções, bem como laboratórios individualizados para ajudar a aprimorar suas AWS habilidades e ganhar experiência prática.
+ **[AWS Ferramentas para desenvolvedores](https://aws.amazon.com/developertools/)** — Links para ferramentas e recursos para desenvolvedores que fornecem documentação, exemplos de código, notas de versão e outras informações para ajudá-lo a criar aplicativos inovadores AWS.
+ **[AWS Support Center](https://console.aws.amazon.com/support/home#/)** — O hub para criar e gerenciar seus casos de AWS Support. Também inclui links para outros recursos úteis, como fóruns, informações técnicas FAQs, status de integridade do serviço e AWS Trusted Advisor.
+ **[AWS Support](https://aws.amazon.com/premiumsupport/)** — A principal página da web com informações sobre o AWS Support one-on-one, um canal de suporte de resposta rápida para ajudá-lo a criar e executar aplicativos na nuvem.
+ **[Fale conosco](https://aws.amazon.com/contact-us/)** — Um ponto de contato central para consultas sobre AWS faturamento, conta, eventos, abuso e outros problemas.
+ **[AWS Termos do site](https://aws.amazon.com/terms/)** — Informações detalhadas sobre nossos direitos autorais e nossa marca registrada; sua conta, licença e acesso ao site; e outros tópicos.