As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança em AWS Organizations
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isto como segurança *da* nuvem e segurança *na* nuvem.
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que funciona Serviços da AWS na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos [programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade aplicáveis AWS Organizations, consulte [Serviços da AWS Escopo por Programa de Conformidade](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Organizations. Os tópicos a seguir mostram como configurar o Organizations para atender aos seus objetivos de segurança e conformidade. Você também aprende a usar outros Serviços da AWS que ajudam você a monitorar e proteger os recursos de sua Organização.
**Topics**
+ [AWS PrivateLink para AWS Organizations](orgs_security_privatelink.md)
+ [Identity and Access Management para AWS Organizations](orgs_security_iam.md)
+ [Registro e monitoramento em AWS Organizations](orgs_security_incident-response.md)
+ [Validação de conformidade para AWS Organizations](orgs_security_compliance-validation.md)
+ [Resiliência em AWS Organizations](orgs_security_disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura em AWS Organizations](orgs_security_infrastructure.md)
# AWS PrivateLink para AWS Organizations
Com o AWS PrivateLink for AWS Organizations, você pode acessar o AWS Organizations serviço de dentro da Virtual Private Cloud (VPC) sem precisar cruzar a Internet pública.
A Amazon VPC permite que você lance AWS recursos em uma rede virtual personalizada. Você pode usar uma VPC para controlar as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para obter mais informações sobre VPCs, consulte o Guia do [https://docs.aws.amazon.com/vpc/latest/userguide/](https://docs.aws.amazon.com/vpc/latest/userguide/).
Para conectar sua Amazon VPC a AWS Organizations, você deve primeiro definir uma interface VPC endpoint (endpoints de interface). Os endpoints de interface são representados por uma ou mais interfaces de rede elástica (ENIs) às quais são atribuídos endereços IP privados de sub-redes em sua VPC. As solicitações de sua VPC para AWS Organizations mais de endpoints de interface permanecem na rede Amazon.
Para obter informações gerais sobre endpoints de interface, consulte [Acessar um AWS serviço usando um endpoint VPC de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations) no Guia do usuário da *Amazon VPC*.
**Topics**
+ [Limitações e restrições de AWS PrivateLink para AWS Organizations](#limits-restrictions-privatelink)
+ [Criar um endpoint da VPC](create-vpc-endpoint.md)
+ [Criar uma política de endpoint da VPC](create-vpc-endpoint-policy.md)
## Limitações e restrições de AWS PrivateLink para AWS Organizations
As limitações da VPC se aplicam a AWS PrivateLink for. AWS Organizations Para obter mais informações, consulte [Acessar um AWS serviço usando uma interface VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations) e [AWS PrivateLink cotas no](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html) Guia do usuário da Amazon *VPC*. Além disso, aplicam-se as seguintes restrições:
+ Somente disponível na região `us-east-1`
+ Não oferece suporte ao Transport Layer Security (TLS) 1.1
# Criação de um VPC endpoint para AWS Organizations
Você pode criar um AWS Organizations endpoint em sua VPC usando o console Amazon VPC, AWS Command Line Interface o () ou.AWS CLI CloudFormation
*Para obter informações sobre como criar e configurar um endpoint usando o console da Amazon VPC ou o AWS CLI, consulte Criar [um endpoint de VPC no Guia do usuário da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws).* *Para obter informações sobre como criar e configurar um endpoint usando CloudFormation, consulte o VPCEndpoint recurso [AWS: :EC2::](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) no Guia do usuário.AWS CloudFormation *
Ao criar um AWS Organizations endpoint, use o seguinte como nome do serviço:
```
com.amazonaws.us-east-1.organizations
```
Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar AWS, use o seguinte nome de serviço FIPS: AWS Organizations
```
com.amazonaws.us-east-1.organizations-fips
```
# Criação de uma política de VPC endpoint para AWS Organizations
É possível anexar uma política de endpoint ao endpoint da VPC que controla o acesso ao Organizations. Essa política especifica as seguintes informações:
+ A entidade principal que pode realizar ações.
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas.
Para obter mais informações, consulte [Controlar o acesso aos endpoints da VPC usando políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do usuário da Amazon VPC*.
## Exemplo: política de VPC endpoint para ações AWS Organizations
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"Organizations:DescribeAccount"
],
"Resource":"*"
}
]
}
```
# Identity and Access Management para AWS Organizations
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (ter permissões) a usar recursos do Organizations. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como AWS Organizations funciona com o IAM](security_iam_service-with-iam.md)
+ [Como gerenciar permissões de acesso para a organização](orgs_permissions_overview.md)
+ [Exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
+ [Exemplos de políticas baseadas em atributos](security_iam_resource-based-policy-examples.md)
+ [AWS políticas gerenciadas](orgs_reference_available-policies.md)
+ [Controle de acesso baseado em atributo com tags](orgs_tagging_abac.md)
+ [Solução de problemas](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas AWS Organizations de identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como AWS Organizations funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para AWS Organizations](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como AWS Organizations funciona com o IAM
Antes de usar o IAM para gerenciar o acesso ao Organizations, saiba quais recursos do IAM estão disponíveis para uso com o Organizations.
| Recurso do IAM | Suporte do Organizations |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em atributos](#security_iam_service-with-iam-resource-based-policies) | Sim |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de política (específicas do serviço)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim |
| [ACLs](#security_iam_service-with-iam-acls) | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Sim |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Não |
| [Sessões de acesso direto (FAS)](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Sim |
| [Perfis vinculados a serviço](#security_iam_service-with-iam-roles-service-linked) | Sim |
Para ter uma visão de alto nível de como Organizations e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Políticas baseadas em identidade para o Organizations
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos d políticas baseadas em identidade para o Organizations
Para exibir exemplos de políticas baseadas em identidade do Organizations, consulte [Exemplos de políticas baseadas em identidade para AWS Organizations](security_iam_id-based-policy-examples.md).
## Políticas baseadas em recursos no Organizations
**Compatível com políticas baseadas em recursos:** sim
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
O serviço do Organizations oferece suporte somente a um tipo de política baseada em recurso, denominada *política de delegação baseada em recursos*, que especifica quais contas-membro podem executar ações de acordo com as políticas. É possível adicionar diversas instruções na política para denotar um conjunto diferente de permissões às contas-membro.
Para obter mais informações, consulte [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
### Exemplos de políticas baseadas em recursos no Organizations
Para exibir exemplos de políticas baseadas em recursos do Organizations, consulte [Exemplos de políticas baseadas em recursos para AWS Organizations](security_iam_resource-based-policy-examples.md).
## Ações de políticas para o Organizations
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista das ações do Organizations, consulte [Actions defined by AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions) na *Referência de autorização do serviço*.
As ações de política no Organizations usam o seguinte prefixo antes da ação:
```
organizations
```
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
```
"Action": [
"organizations:action1",
"organizations:action2"
]
```
Para exibir exemplos de políticas baseadas em identidade do Organizations, consulte [Exemplos de políticas baseadas em identidade para AWS Organizations](security_iam_id-based-policy-examples.md).
## Recursos de políticas para o Organizations
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para ver uma lista dos tipos de recursos de Organizations e seus ARNs, consulte [Recursos definidos por AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-resources-for-iam-policies) na *Referência de Autorização de Serviço*. Para saber com quais ações é possível especificar o ARN de cada atributo, consulte [Ações definidas pelo AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions).
Para exibir exemplos de políticas baseadas em identidade do Organizations, consulte [Exemplos de políticas baseadas em identidade para AWS Organizations](security_iam_id-based-policy-examples.md).
## Chaves de condição de políticas do Organizations
**Compatível com chaves de condição de política específicas de serviço:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista de chaves de condição do Organizations, consulte [Condition keys for AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-policy-keys) na *Service Authorization Reference*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas por AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions).
Para exibir exemplos de políticas baseadas em identidade do Organizations, consulte [Exemplos de políticas baseadas em identidade para AWS Organizations](security_iam_id-based-policy-examples.md).
## ACLs em Organizations
**Suportes ACLs:** Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
## ABAC com o Organizations
**Compatível com ABAC (tags em políticas):** sim
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
## Usar credenciais temporárias com o Organizations
**Compatível com credenciais temporárias:** não
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Sessões de acesso direto para o Organizations
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Perfis de serviço do Organizations
**Compatível com perfis de serviço:** sim
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
**Atenção**
A alteração das permissões de um perfil de serviço pode interromper a funcionalidade do Organizations. Edite perfis de serviço somente quando o Organizations fornecer orientação para isso.
## Perfis vinculados ao serviço no Organizations
**Compatibilidade com perfis vinculados a serviços:** sim
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Perfil vinculado ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.
# Gerenciando permissões de acesso para uma organização com AWS Organizations
Todos os AWS recursos, incluindo raízes OUs, contas e políticas em uma organização, são de propriedade de um Conta da AWS, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões. No caso de uma organização, a conta gerencial possui todos os recursos. Um administrador da conta pode controlar o acesso aos AWS recursos anexando políticas de permissões às identidades do IAM (usuários, grupos e funções).
**nota**
O *administrador de uma conta* (ou o usuário administrador) é um usuário com permissões de administrador. Para obter mais informações, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/accounts/latest/reference/getting-started-step4.html) no *Guia de Referência do AWS Gerenciamento de contas *.
Ao conceder permissões, você decide quem recebe as permissões, para quais recursos as permissões são concedidas e as ações específicas que você deseja permitir nesses recursos.
Por padrão, usuários, grupos e funções do IAM não têm permissões. Como um administrador da conta gerencial de uma organização, você pode executar tarefas administrativas ou delegar permissões de administrador a outros usuários ou perfis do IAM na conta gerencial. Para fazer isso, você anexa uma política de permissões do IAM a um usuário, grupo ou função do IAM. Por padrão, um usuário não tem permissões; isso é às vezes chamado de uma *negação implícita*. A política substitui a negação implícita com uma *permissão explícita* que especifica quais ações o usuário pode executar e em quais recursos eles podem executar as ações. Se as permissões forem concedidas a uma função, essa função poderá ser assumida por usuários em outras contas na organização.
## AWS Organizations recursos e operações
Esta seção discute como os AWS Organizations conceitos são mapeados para seus conceitos equivalentes ao IAM.
### Recursos
Em AWS Organizations, você pode controlar o acesso aos seguintes recursos:
+ A raiz e o OUs que compõem a estrutura hierárquica de uma organização
+ As contas que são membros da organização.
+ As políticas que você anexa às entidades da organização
+ Os handshakes que você usa para alterar o estado da organização
Cada um desses recursos tem um nome de recurso da Amazon (ARN) exclusivo associado a ele. Você controla o acesso a um recurso especificando seu Nome de região da Amazon (ARN) no elemento `Resource` de uma política de permissão do IAM. Para obter uma lista completa dos formatos de ARN para recursos usados em AWS Organizations, consulte [Tipos de recursos definidos por AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies) na Referência de *Autorização de Serviço*.
### Operações
AWS fornece um conjunto de operações para trabalhar com os recursos em uma organização. Eles permitem executar tarefas, como criar, listar, modificar, acessar o conteúdo e excluir recursos. A maioria das operações pode ser referenciada no elemento `Action` de uma política do IAM para controlar quem pode usar essa operação. Para obter uma lista de operações do AWS Organizations que podem ser usadas como permissões em uma política do IAM, consulte [Actions defined by organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-actions-as-permissions) na *Referência de autorização do serviço*.
Ao combinar um `Action` e um `Resource` em uma única política de permissão `Statement`, você controla exatamente em quais recursos determinado conjunto de ações pode ser usado.
### Chaves de condição
AWS fornece chaves de condição que você pode consultar para fornecer um controle mais granular sobre determinadas ações. Você pode referenciar essas chaves de condição no elemento `Condition` de uma política do IAM para especificar as circunstâncias adicionais necessárias para que a instrução seja considerada uma correspondência.
As seguintes chaves de condição são especialmente úteis com AWS Organizations:
+ `aws:PrincipalOrgID` – Simplifica especificando o elemento `Principal` em uma política baseada em recursos. Essa chave global fornece uma alternativa para listar todas as contas IDs de todos Contas da AWS em uma organização. Em vez de listar todas as contas que são membros de uma organização, você pode especificar o [ID da organização](orgs_manage_org.md) no elemento `Condition`.
**nota**
Essa condição global também se aplica a conta gerencial de uma organização.
Para obter mais informações, consulte a descrição de `PrincipalOrgID` em [Chaves de contexto de condição global da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
+ `aws:PrincipalOrgPaths` – Use essa chave de condição para corresponder membros de uma determinada raiz de organização, uma UO ou suas subordinadas. A chave de condição `aws:PrincipalOrgPaths` retorna true (verdadeiro) quando o usuário principal (usuário-raiz, usuário do IAM ou função do IAM) que faz a solicitação está no caminho da organização especificado. Um caminho é uma representação em texto da estrutura de uma AWS Organizations entidade. Para obter mais informações sobre caminhos, consulte [Entenda o caminho da AWS Organizations entidade](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html#access_policies_access-advisor-viewing-orgs-entity-path) no *Guia do usuário do IAM*. Para obter mais informações sobre o uso dessa chave de condição, consulte [aws: PrincipalOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principal-org-paths) no *Guia do usuário do IAM*.
Por exemplo, o elemento de condição a seguir corresponde aos membros de qualquer um dos dois OUs na mesma organização.
```
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
"o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/"
]
}
}
```
+ `organizations:PolicyType` – Você pode usar essa chave de condição para restringir as operações de API relacionadas a políticas do Organizations para funcionar apenas nas políticas do Organizations do tipo especificado. É possível aplicar essa chave de condição a qualquer instrução de política que inclua uma ação que interaja com as políticas do Organizations.
Você pode usar os seguintes valores com essa chave de condição:
+ `SERVICE_CONTROL_POLICY`
+ `RESOURCE_CONTROL_POLICY`
+ `DECLARATIVE_POLICY_EC2`
+ `BACKUP_POLICY`
+ `TAG_POLICY`
+ `CHATBOT_POLICY`
+ `AISERVICES_OPT_OUT_POLICY`
Por exemplo, a política do exemplo a seguir permite que o usuário execute qualquer operação do Organizations. No entanto, se o usuário executar uma operação que usa um argumento de política, a operação só será permitida se a política especificada for uma política de marcação. A operação falha se o usuário especificar qualquer outro tipo de política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies",
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [ "TAG_POLICY" ]
}
}
}
]
}
```
------
+ `organizations:ServicePrincipal`— Disponível como condição se você usar as operações [Ativar AWSService Acesso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) ou [Desativar AWSService Acesso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) para ativar ou desativar o [acesso confiável](orgs_integrate_services.md) com outros AWS serviços. Você pode usar o `organizations:ServicePrincipal` para restringir as solicitações feitas por essas operações para uma lista de nomes principais de serviços aprovados.
Por exemplo, a política a seguir permite que o usuário especifique somente AWS Firewall Manager ao ativar e desativar o acesso confiável com AWS Organizations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowOnlyAWSFirewallIntegration",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:ServicePrincipal": [ "fms.amazonaws.com" ]
}
}
}
]
}
```
------
Para ver uma lista de todas as chaves de condição AWS Organizations específicas que podem ser usadas como permissões em uma política do IAM, consulte [Chaves de condição AWS Organizations na Referência de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) *autorização de serviço*.
## Informações sobre propriedade de recursos
Ele Conta da AWS possui os recursos que são criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário Conta da AWS do recurso é a [entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (ou seja, o usuário raiz, um usuário do IAM ou uma função do IAM) que autentica a solicitação de criação do recurso. Para uma organização, é ***sempre*** a conta gerencial. Você não pode chamar a maioria das operações que criam ou acessam recursos da organização das contas dos membros. Os seguintes exemplos mostram como isso funciona:
+ Se você usar as credenciais da conta-raiz da sua conta gerencial para criar uma UO, sua conta gerencial será a proprietária do recurso. (Em AWS Organizations, o recurso é a OU).
+ Se você criar um usuário do IAM em sua conta gerencial e conceder permissões para criar uma UO para esse usuário, o usuário poderá criar uma UO. No entanto, a conta gerencial à qual o usuário pertence é a proprietária do recurso da UO.
+ Se você criar uma função do IAM na sua conta gerencial com permissões para criar uma UO, qualquer pessoa que possa assumir a função pode criar uma UO. A conta gerencial, à qual pertence a função (não o usuário que assume a função), é a proprietária do recurso da UO.
## Gerenciar acesso aos recursos da
Uma *política de permissões* descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.
**nota**
Esta seção discute o uso do IAM no contexto de AWS Organizations. Não são fornecidas informações detalhadas sobre o serviço IAM. Para concluir a documentação do IAM, consulte o [Guia do usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html). Para obter informações sobre a sintaxe e as descrições da política do IAM, consulte a [Referência da política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Manual do usuário do IAM*.
As políticas anexadas a uma identidade do IAM são chamadas de políticas *baseadas em identidade* (políticas do IAM). As políticas anexadas a um recurso são chamadas de políticas *baseadas em recursos*.
**Topics**
+ [Políticas de permissão baseadas em identidade (políticas do IAM)](#orgs-access-control-iam-policies)
### Políticas de permissão baseadas em identidade (políticas do IAM)
Você pode anexar políticas às identidades do IAM para permitir que essas identidades realizem operações em AWS recursos. Por exemplo, você pode fazer o seguinte:
+ **Anexe uma política de permissões a um usuário ou grupo em sua conta** — Para conceder a um usuário permissões para criar um AWS Organizations recurso, como uma [política de controle de serviços (SCP)](orgs_manage_policies_scps.md) ou uma OU, você pode anexar uma política de permissões a um usuário ou grupo ao qual o usuário pertence. O usuário ou grupo deve estar na conta gerencial da organização.
+ **Anexar uma política de permissões a uma função (grant cross-account permissions)** – Você pode anexar uma política de permissões baseadas em identidade a uma função do IAM para conceder acesso entre contas a uma organização. Por exemplo, o administrador na conta gerencial pode criar uma função para conceder permissões entre contas para um usuário da conta-membro, da seguinte forma:
1. O administrador da conta gerencial cria uma função do IAM e anexa uma política de permissões à função que concede permissões aos recursos da organização.
1. O administrador da conta gerencial anexa uma política de confiança para a função que identifica o ID da conta do membro como `Principal`, que pode assumir a função.
1. O administrador da conta do membro pode então delegar permissões para assumir a função a quaisquer usuários na conta do membro. Isso permite que os usuários na conta do membro criem ou acessem recursos na conta gerencial e na organização. O diretor na política de confiança também pode ser um diretor de AWS serviço se você quiser conceder permissões a um AWS serviço para assumir a função.
Para obter mais informações sobre o uso do IAM para delegar permissões, consulte [Gerenciamento de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Guia do usuário do IAM*.
A seguir estão exemplos de políticas que permitem ao usuário executar a ação `CreateAccount` na organização:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"Stmt1OrgPermissions",
"Effect":"Allow",
"Action":[
"organizations:CreateAccount"
],
"Resource":"*"
}
]
}
```
------
Você também pode fornecer um ARN parcial no elemento `Resource` da política para indicar o tipo de recurso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowCreatingAccountsOnResource",
"Effect":"Allow",
"Action":"organizations:CreateAccount",
"Resource":"arn:aws:organizations::*:account/*"
}
]
}
```
------
Você também pode negar a criação de contas que não incluam tags específicas para a conta que está sendo criada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyCreatingAccountsOnResourceBasedOnTag",
"Effect":"Deny",
"Action":"organizations:CreateAccount",
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/key":"value"
}
}
}
]
}
```
------
Para obter mais informações sobre usuários, grupos, funções e permissões, consulte [Identidades do IAM (usuários, grupos de usuários e perfis)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) no *Guia do usuário do IAM*.
## Especificação de elementos da política: ações, condições, efeitos e recursos
Para cada AWS Organizations recurso, o serviço define um conjunto de operações ou ações de API que podem interagir ou manipular esse recurso de alguma forma. Para conceder permissões para essas operações, AWS Organizations define um conjunto de ações que você pode especificar em uma política. Por exemplo, para o recurso OU, AWS Organizations define ações como as seguintes:
+ `AttachPolicy` e `DetachPolicy`
+ `CreateOrganizationalUnit` e `DeleteOrganizationalUnit`
+ `ListOrganizationalUnits` e `DescribeOrganizationalUnit`
Em alguns casos, a execução de uma operação de API pode exigir permissões para mais de uma ação e mais permissões para mais de um recurso.
Veja a seguir mais elementos básicos que você pode usar em uma política de permissão do IAM:
+ **Action (Ação)** – Use essa palavra-chave para identificar as operações (ações) que deseja permitir ou negar. Por exemplo, dependendo do especificado`Effect`, `organizations:CreateAccount` permite ou nega ao usuário permissões para realizar a AWS Organizations `CreateAccount` operação. Para obter mais informações, consulte [Elementos da política JSON do IAM: Action](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) no *Manual do usuário do IAM*.
+ **Resource (Recurso)** – Use essa palavra-chave para especificar o ARN do recurso ao qual a instrução da política se aplica. Para obter mais informações, consulte [Elementos da política JSON do IAM: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) no *Guia do usuário do IAM*.
+ **Condition (Condição)** – Use essa palavra-chave para especificar uma condição que deve ser atendida para que a instrução da política seja aplicável. `Condition` normalmente especifica circunstâncias adicionais que devem ser atendidas para que a política seja uma correspondência. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Effect (Efeito)** – Use essa palavra-chave para especificar se a instrução da política permite ou nega a ação no recurso. Se você não conceder (ou permitir) explicitamente o acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente acesso a um recurso, o que pode fazer para garantir que o usuário não execute a ação especificada no recurso especificado, mesmo se uma política diferente conceder acesso. Para obter mais informações, consulte [Elementos de política JSON do IAM: Effect](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) no *Guia do usuário do IAM*.
+ **Principal** – Em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política está anexada é automática e implicitamente o principal. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos).
Para saber mais sobre a sintaxe e as descrições de políticas do IAM, consulte a [Referência da política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Manual do usuário do IAM*.
# Exemplos de políticas baseadas em identidade para AWS Organizations
Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do Organizations. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos por Organizations, incluindo o ARNs formato de cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html) na *Referência de Autorização de Serviço*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizar o console](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Concessão de permissões administrativas completas a um usuário](#orgs_permissions_grant-admin-actions)
+ [Concessão de acesso limitado por ações](#orgs_permissions_grant-limited-actions)
+ [Concessão de acesso a recursos específicos](#orgs_permissions_grant-limited-resources)
+ [Concessão da capacidade de habilitar acesso confiável para entidades de serviço primárias limitadas](#orgs_permissions_grant-trusted-access-condition)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Organizations em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usar o console do Organizations
Para acessar o AWS Organizations console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos da Organizations em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para garantir que usuários e funções ainda possam usar o console Organizations, anexe também as Organizations [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html)ou a política [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html) AWS gerenciada às entidades. Para obter informações, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Concessão de permissões administrativas completas a um usuário
Você pode criar uma política do IAM que conceda permissões totais de AWS Organizations administrador a um usuário do IAM na sua organização. Você pode fazer isso no editor de políticas JSON no console do IAM.
**Para usar o editor de políticas JSON para criar uma política**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação à esquerda, escolha **Políticas**.
Se essa for a primeira vez que você escolhe **Políticas**, a página **Bem-vindo às políticas gerenciadas** será exibida. Escolha **Começar**.
1. Na parte superior da página, escolha **Criar política**.
1. Na seção **Editor de políticas**, escolha a opção **JSON**.
1. Insira o seguinte documento de política JSON:
```
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*"
}
}
```
1. Escolha **Próximo**.
**nota**
É possível alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Próximo** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Restruturação de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) no *Guia do usuário do IAM*.
1. Na página **Revisar e criar**, insira um **Nome de política** e uma **Descrição** (opcional) para a política que você está criando. Revise **Permissões definidas nessa política** para ver as permissões que são concedidas pela política.
1. Escolha **Criar política** para salvar sua nova política.
Para saber mais sobre como criar uma política do IAM consulte [Criação de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Manual do usuário do IAM*.
## Concessão de acesso limitado por ações
Se você deseja conceder permissões limitadas, em vez de permissões completas, pode criar uma política que relaciona as permissões individuais que deseja conceder no elemento `Action` da política de permissões do IAM. Como mostrado no exemplo a seguir, você pode usar caracteres curinga (\$1) para conceder somente as permissões `Describe*` e `List*`, basicamente fornecendo acesso somente leitura para a organização.
**nota**
Em uma política de controle de serviço (SCP), o caractere curinga (\$1) em um elemento `Action` pode ser usado somente sozinho ou no fim da string. Ele não pode aparecer no início nem no meio da string. Portanto, `"servicename:action*"` é válido, mas `"servicename:*action"` ambos `"servicename:some*action"` são inválidos em SCPs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
}
}
```
------
Para ver uma lista de todas as permissões que estão disponíveis para atribuição em uma política do IAM, consulte [Actions defined by AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-actions-as-permissions) na *Referência de Autorização de Serviço*.
## Concessão de acesso a recursos específicos
Além de restringir o acesso a ações específicas, você pode restringir o acesso a entidades específicas em sua organização. Os elementos `Resource` nos exemplos nas seções anteriores especificam o caractere curinga ("\$1"), que significa "qualquer recurso que a ação pode acessar." Em vez disso, é possível substituir "\$1" pelo Nome de recurso da Amazon (ARN) de entidades específicas para as quais você deseja permitir o acesso.
**Exemplo: concessão de permissões para uma única UO**
A primeira instrução da política a seguir permite que um usuário do IAM tenha acesso de leitura a toda a organização, mas a segunda instrução permite que o usuário execute ações administrativas do AWS Organizations apenas em uma unidade organizacional (UO) especificada. Isso não se estende a nenhuma criança OUs. Nenhum acesso de cobrança é concedido. Observe que isso não lhe dá acesso administrativo ao Contas da AWS na OU. Ele concede somente permissões para realizar AWS Organizations operações nas contas dentro da OU especificada:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "arn:aws:organizations::123456789012:ou/o-/ou-"
}
]
}
```
------
Você obtém o IDs para a OU e a organização a partir do AWS Organizations console ou chamando `List*` APIs o. O usuário ou grupo ao qual você aplica essa política pode realizar qualquer ação (`"organizations:*"`) em qualquer entidade que seja contida diretamente pela UO especificada. A UO é identificada pelo Nome de recurso da Amazon (ARN).
Para obter mais informações sobre os ARNs vários recursos, consulte [Tipos de recursos definidos por AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies) na *Referência de Autorização de Serviço*.
## Concessão da capacidade de habilitar acesso confiável para entidades de serviço primárias limitadas
Você pode usar o elemento `Condition` de uma declaração de política para limitar ainda mais as circunstâncias em que a declaração de política é correspondente.
**Exemplo: conceder permissões para habilitar acesso confiável para um serviço especificado**
A declaração a seguir mostra como você pode restringir a capacidade para habilitar acesso confiável apenas aos serviços que você especificar. Se o usuário tentar chamar a API com um principal de serviço diferente daquele para Centro de Identidade do AWS IAM, essa política não corresponderá e a solicitação será negada:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "organizations:EnableAWSServiceAccess",
"Resource": "*",
"Condition": {
"StringEquals" : {
"organizations:ServicePrincipal" : "sso.amazonaws.com"
}
}
}
]
}
```
------
Para obter mais informações sobre os ARNs vários recursos, consulte [Tipos de recursos definidos por AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies) na *Referência de Autorização de Serviço*.
# Exemplos de políticas baseadas em recursos para AWS Organizations
Os exemplos de código a seguir mostram como é possível usar políticas de delegação baseadas em recursos. Para obter mais informações, consulte [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
**Topics**
+ [Veja a organização OUs, as contas e as políticas](#orgs_delegate_policies_example_view_accts_orgs)
+ [Criar, ler, atualizar e excluir políticas](#orgs_delegate_policies_example_crud_policies)
+ [Políticas de marcar e desmarcar](#orgs_delegate_policies_example_tag_untag_policies)
+ [Vincular políticas a uma única OU ou conta](#orgs_delegate_policies_example_attach_policies)
+ [Permissões consolidadas para gerenciar as políticas de backup de uma organização](#orgs_delegate_policies_example_consolidate_permissions)
## Exemplo: Exibir organização OUs, contas e políticas
Antes de delegar o gerenciamento de políticas, você deve delegar as permissões para navegar na estrutura de uma organização e ver as unidades organizacionais (OUs), as contas e as políticas anexadas a elas.
Este exemplo mostra como você pode incluir essas permissões em sua política de delegação baseada em recursos para a conta do membro,. *AccountId*
**Importante**
É recomendável incluir permissões somente para as ações necessárias mínimas, conforme mostrado no exemplo, embora seja possível delegar qualquer ação somente leitura do Organizations usando esta política.
Este exemplo de política de delegação concede as permissões necessárias para concluir ações programaticamente a partir da AWS API ou. AWS CLI Para usar essa política de delegação, substitua o [texto AWS do espaço *AccountId* reservado](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) por suas próprias informações. Em seguida, siga as instruções em [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Exemplo: criar, ler, atualizar e excluir políticas
Você pode criar uma política de delegação baseada em recursos que permita que a conta gerencial delegue ações de `create`, `read`, `update` e `delete` para qualquer tipo de política. Este exemplo mostra como você pode delegar essas ações para políticas de controle de serviço à conta do membro,*MemberAccountId*. Os dois recursos mostrados no exemplo concedem acesso às políticas de controle de serviços AWS gerenciados e gerenciados pelo cliente, respectivamente.
**Importante**
Esta política permite que os administradores delegados executem as ações especificadas nas políticas criadas por qualquer conta na organização, incluindo a conta gerencial.
Ela não permite que administradores delegados vinculem ou desvinculem políticas porque não inclui as permissões necessárias para realizar e realizar ações de `organizations:AttachPolicy` e `organizations:DetachPolicy`.
Este exemplo de política de delegação concede as permissões necessárias para concluir ações programaticamente a partir da AWS API ou. AWS CLI Substitua o texto AWS do espaço reservado para *MemberAccountId**ManagementAccountId*, e *OrganizationId* por suas próprias informações. Em seguida, siga as instruções em [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingPolicyActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "SERVICE_CONTROL_POLICY"
}
}
},
{
"Sid": "DelegatingMinimalActionsForSCPs",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:policy/o-OrganizationId/service_control_policy/*",
"arn:aws:organizations::aws:policy/service_control_policy/*"
]
}
]
}
```
------
## Exemplo: políticas de marcar e desmarcar
Este exemplo mostra como criar uma política de delegação baseada em recursos que permita que administradores delegados marquem ou desmarquem as políticas de backup. Ele concede as permissões necessárias para concluir ações programaticamente a partir da AWS API ou. AWS CLI
Para usar essa política de delegação, substitua o texto AWS do espaço reservado para *MemberAccountId**ManagementAccountId*, e *OrganizationId* por suas próprias informações. Em seguida, siga as instruções em [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingTaggingBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:TagResource",
"organizations:UntagResource"
],
"Resource": "arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
}
]
}
```
------
## Exemplo: vincular políticas a uma única OU ou conta
Este exemplo mostra como você pode criar uma política de delegação baseada em recursos que permita que administradores delegados `attach` ou `detach` políticas do Organizations de uma unidade organizacional (OU) especificada ou de uma conta específica. Antes de delegar essas ações, você deve delegar as permissões para navegar na estrutura de uma organização e visualizar as contas abaixo dela. Para obter detalhes, consulte [Exemplo: Exibir organização OUs, contas e políticas](#orgs_delegate_policies_example_view_accts_orgs)
**Importante**
Embora essa política permita anexar ou desanexar políticas da OU ou conta especificada, ela exclui crianças OUs e contas menores de idade. OUs
Essa política permite que os administradores delegados executem as ações especificadas nas políticas criadas por qualquer conta na organização, incluindo a conta gerencial.
Este exemplo de política de delegação concede as permissões necessárias para concluir ações programaticamente a partir da AWS API ou. AWS CLI Para usar essa política de delegação, substitua o texto AWS do espaço reservado para *MemberAccountId**ManagementAccountId*,*OrganizationId*, e *TargetAccountId* por suas próprias informações. Em seguida, siga as instruções em [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "AttachDetachPoliciesSpecifiedAccountOU",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:ou/o-OrganizationId/ou-OUId",
"arn:aws:organizations::111122223333:account/o-OrganizationId/TargetAccountId",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
]
}
]
}
```
------
Para delegar a vinculação ou desvinculação de políticas a qualquer OU ou conta nas organizações, substitua o recurso no exemplo anterior pelos seguintes recursos:
```
"Resource": [
"arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
]
```
## Exemplo: permissões consolidadas para gerenciar as políticas de backup de uma organização
Este exemplo mostra como você pode criar uma política de delegação baseada em recursos que permite que a conta gerencial delegue todas as permissões necessárias para gerenciar políticas de backup dentro da organização, incluindo as ações `create`, `read`, `update` e `delete`, bem como as ações da política `attach` e `detach`.
**Importante**
Essa política permite que os administradores delegados executem as ações especificadas nas políticas criadas por qualquer conta na organização, incluindo a conta gerencial.
Este exemplo de política de delegação concede as permissões necessárias para concluir ações programaticamente a partir da AWS API ou. AWS CLI Para usar essa política de delegação, substitua o [texto AWS do espaço reservado](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) para *MemberAccountId**ManagementAccountId*,*OrganizationId*, e *RootId* por suas próprias informações. Em seguida, siga as instruções em [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingAllActionsForBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"organizations:EnablePolicyType",
"organizations:DisablePolicyType"
],
"Resource": [
"arn:aws:organizations::111122223333:root/o-OrganizationId/r-RootId",
"arn:aws:organizations::111122223333:ou/o-OrganizationId/*",
"arn:aws:organizations::111122223333:account/o-OrganizationId/*",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
}
]
}
```
------
# AWS políticas gerenciadas para AWS Organizations
Esta seção identifica as políticas AWS gerenciadas fornecidas para seu uso no gerenciamento de sua organização. Você não pode modificar ou excluir uma política AWS gerenciada, mas pode anexá-la ou desanexá-la às entidades da sua organização, conforme necessário.
## AWS Organizations políticas gerenciadas para uso com AWS Identity and Access Management (IAM)
Uma política gerenciada do IAM é fornecida e mantida pela AWS. Uma política gerenciada fornece permissões para tarefas comuns que você pode atribuir aos usuários anexando a política gerenciada ao usuário ou objeto de função apropriado do IAM. Você não precisa escrever a política sozinho e, ao AWS atualizar a política conforme apropriado para oferecer suporte a novos serviços, você obtém automaticamente e imediatamente os benefícios da atualização.
Você pode ver a lista de políticas gerenciadas pela AWS na página [Policies (Políticas)](https://console.aws.amazon.com/iam/home?#/policies) no console do IAM. Use a lista suspensa **Filter policies** para selecionar **AWS managed**.
Você pode usar as seguintes políticas gerenciadas para conceder permissões a usuários da sua organização.
### AWS política gerenciada: AWSOrganizationsFullAccess
Fornece todas as permissões necessárias para criar e administrar totalmente uma organização.
Veja esta política: [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html).
### AWS política gerenciada: AWSOrganizationsReadOnlyAccess
Fornece acesso somente de leitura a informações sobre a organização. Não permite que o usuário faça nenhuma alteração.
Veja esta política: [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html).
### AWS política gerenciada: DeclarativePoliciesEC2Report
Essa política é usada pela função vinculada ao serviço [AWSServiceRoleForDeclarativePoliciesEC2Report](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#ec2-report-policy) para permitir que ela descreva os estados dos atributos da conta das contas dos membros.
Veja a política: [DeclarativePoliciesEC2Relatório](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/DeclarativePoliciesEC2Report.html).
## Atualizações nas políticas AWS gerenciadas da Organizations
A tabela a seguir detalha as atualizações das políticas AWS gerenciadas desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações realizadas nesta página, inscreva-se no feed RSS na página [Histórico de documentos](document-history.md).
****
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— atualizado para permitir as permissões de API da conta necessárias para visualizar ou modificar o nome de uma conta por meio do console do Organizations. | Adição da ação `account:GetAccountInformation` para permitir o acesso a fim de visualizar o nome de qualquer conta em uma organização e a ação `account:PutAccountName` para permitir o acesso a fim de modificar qualquer nome de conta em uma organização. | 22 de abril de 2025 |
| [DeclarativePoliciesEC2Relatório](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/DeclarativePoliciesEC2Report$jsonEditor) — Nova política gerenciada | Adição da política `DeclarativePoliciesEC2Report` para habilitar a funcionalidade da função vinculada ao serviço `AWSServiceRoleForDeclarativePoliciesEC2Report`. | 22 de novembro de 2024 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— atualizado para permitir que as permissões de API da conta sejam necessárias para visualizar um endereço de e-mail do usuário raiz (endereço de ). | Adição da ação `account:GetPrimaryEmail` para permitir o acesso para visualizar o endereço de e-mail do usuário-raiz para qualquer conta de membro em uma organização, e a ação `account:GetRegionOptStatus` para habilitar o acesso à visualização das regiões habilitadas para qualquer conta de membro em uma organização. | 6 de junho de 2024 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— atualizado para incluir `Sid` elementos que descrevam a declaração de política. | Adição de elementos `Sid` para a política gerenciada `AWSOrganizationsFullAccess`. | 6 de fevereiro de 2024 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— atualizado para incluir `Sid` elementos que descrevam a declaração de política. | Adição de elementos `Sid` para a política gerenciada `AWSOrganizationsReadOnlyAccess`. | 6 de fevereiro de 2024 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— atualizado para permitir que as permissões da API da conta sejam ativadas ou desativadas Regiões da AWS por meio do console do Organizations. | Adição das ações `account:ListRegions`, `account:EnableRegion` e `account:DisableRegion` à política para habilitar o acesso de gravação para habilitar ou desabilitar regiões para uma conta. | 22 de dezembro de 2022 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— atualizado para permitir que as permissões de API da conta sejam listadas Regiões da AWS por meio do console do Organizations. | Adição da ação `account:ListRegions` à política para habilitar o acesso de visualização de regiões para uma conta. | 22 de dezembro de 2022 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— atualizado para permitir as permissões de API da conta necessárias para adicionar ou editar contatos da conta por meio do console do Organizations. | Adição das ações `account:GetContactInformation` e `account:PutContactInformation` à política para habilitar acesso de gravação a fim de modificar contatos de uma conta. | 21 de outubro de 2022 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— atualizado para permitir as permissões de API da conta necessárias para visualizar os contatos da conta por meio do console do Organizations. | Adição da ação `account:GetContactInformation` à política para habilitar acesso de visualização de contatos de uma conta. | 21 de outubro de 2022 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— atualizado para permitir a criação de uma organização. | Adição da permissão `CreateServiceLinkedRole` à política para habilitar a criação da função vinculada ao serviço, necessária para criar uma organização. A permissão é restrita à criação de uma função que pode ser usada somente pelo serviço `organizations.amazonaws.com`. | 24 de agosto de 2022 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— atualizado para permitir as permissões da API da conta necessárias para adicionar, editar ou excluir contatos alternativos da conta por meio do console do Organizations. | Adição das ações `account:GetAlternateContact`, `account:DeleteAlternateContact` e `account:PutAlternateContact` à política para habilitar acesso de gravação para modificar contatos alternativos de uma conta. | 7 de fevereiro de 2022 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— atualizado para permitir as permissões de API da conta necessárias para visualizar contatos alternativos da conta por meio do console do Organizations. | Adição da ação `account:GetAlternateContact` à política para habilitar acesso de visualização de contatos alternativos de uma conta. | 7 de fevereiro de 2022 |
## AWS políticas de autorização gerenciadas
As [políticas de autorização](orgs_manage_policies_authorization_policies.md) são semelhantes às políticas de permissão do IAM, mas são um recurso e AWS Organizations não do IAM. Você usa políticas de autorização para configurar e gerenciar centralmente o acesso de entidades e recursos em suas contas de membros.
Você pode ver a lista de políticas de sua organização na página [Policies (Políticas)](https://console.aws.amazon.com/organizations/?#/policies) no console do Organizations.
****
| Nome da política | Description | ARN |
| --- | --- | --- |
| [FullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy/p-FullAWSAccess) | Permite o acesso a todas as operações. | arn:aws:organizations: :aws: -Completo policy/service\$1control\$1policy/p AWSAccess |
| [RCPFullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/resource-control-policy/p-RCPFullAWSAccess) | Permite acesso a todos os recursos. | arn:aws:organizations: :aws: - policy/resource\$1control\$1policy/p RCPFull AWSAccess |
# Controle de acesso baseado em atributos com tags para AWS Organizations
O *[controle de acesso baseado em atributos](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)* permite que você use atributos gerenciados pelo administrador, como [tags](https://docs.aws.amazon.com/ARG/latest/userguide/tag-editor.html) anexadas a AWS recursos e AWS identidades, para controlar o acesso a esses recursos. Por exemplo, você pode especificar que um usuário pode acessar um recurso quando o usuário e o recurso tiverem o mesmo valor para uma determinada tag.
AWS Organizations os recursos marcáveis incluem a raiz da organização Contas da AWS, as unidades organizacionais (OUs) ou as políticas. Quando anexa tags a recursos do Organizations, você pode usar essas tags para controlar quem pode acessar esses recursos. Você faz isso adicionando `Condition` elementos às suas declarações de política de permissões AWS Identity and Access Management (IAM) que verificam se determinadas chaves e valores de tag estão presentes antes de permitir a ação. Isso permite que você crie uma política do IAM que efetivamente diz “Permitir que o usuário gerencie somente aqueles OUs que têm uma tag com uma chave `X` e um valor`Y`” ou “Permitir que o usuário gerencie somente aqueles OUs que estão marcados com uma chave `Z` que tenha o mesmo valor da chave de tag anexada do usuário”`Z`.
Você pode basear seus testes de `Condition` em diferentes tipos de referências de tag em uma política do IAM.
+ [Verificação das tags anexadas aos recursos especificados na solicitação](#abac-resource)
+ [Verificação de tags anexadas ao usuário ou à função do IAM que está fazendo a solicitação](#abac-prin)
+ [Verificar as tags que estão incluídas como parâmetros na solicitação](#abac-request)
Para obter mais informações sobre o uso de tags para controle de acesso em políticas, consulte [Controlar o acesso aos/de usuários e funções do IAM usando tags de recurso do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html). Para obter a sintaxe completa das políticas de permissão do IAM, consulte a [Referência de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)
## Verificação das tags anexadas aos recursos especificados na solicitação
Ao fazer uma solicitação usando o Console de gerenciamento da AWS, o AWS Command Line Interface (AWS CLI) ou um dos AWS SDKs, você especifica quais recursos deseja acessar com essa solicitação. Se você estiver tentando listar os recursos de um determinado tipo disponíveis, ler ou gravar em um recurso, modificar ou atualizar um recurso, você especifica o recurso a ser acessado como um parâmetro na solicitação. Essas solicitações são controladas pelas políticas de permissões do IAM que você anexa aos seus usuários e funções. Nessas políticas, você pode comparar as tags anexadas ao recurso solicitado e optar por permitir ou negar acesso com base nas chaves e valores dessas tags.
Para verificar uma tag anexada ao recurso, você referencia a tag em um elemento do `Condition` prefaciando o nome da chave da tag com a seguinte sequência: `aws:ResourceTag/`
Por exemplo, o exemplo de política a seguir permite que o usuário ou a função execute qualquer operação do AWS Organizations ***a menos*** que esse recurso tenha uma tag com a chave `department` e o valor `security`. Se essa chave e valor estiverem presentes, a política nega explicitamente operação do `UntagResource`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : "organizations:*",
"Resource" : "*"
},
{
"Effect" : "Deny",
"Action" : "organizations:UntagResource",
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/department" : "security"
}
}
}
]
}
```
------
Para obter mais informações sobre como usar esse elemento, consulte [Controlando o acesso ao recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-resources) e à [AWS: ResourceTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) no *Guia do usuário do IAM*.
## Verificação de tags anexadas ao usuário ou à função do IAM que está fazendo a solicitação
Você pode controlar o que a pessoa que está fazendo a solicitação (principal) tem permissão para fazer com base nas tags anexadas ao usuário ou à função do IAM dessa pessoa. Para fazer isso, use a chave de condição `aws:PrincipalTag/key-name` para especificar a tag e o valor que devem ser anexados ao usuário ou à função que está chamando.
O exemplo a seguir mostra como permitir uma ação apenas quando a tag especificada (`cost-center`) tiver o mesmo valor no usuário principal que chama a operação e no recurso que está sendo acessado pela operação. Neste exemplo, o usuário que chama só pode iniciar e interromper uma instância do Amazon EC2 se a instância estiver marcada com o mesmo valor `cost-center` que o usuário.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"ec2:startInstances",
"ec2:stopInstances"
],
"Resource": "*",
"Condition": {"StringEquals":
{"ec2:ResourceTag/cost-center": "${aws:PrincipalTag/cost-center}"}}
}
}
```
------
Para obter mais informações sobre como usar esse elemento, consulte [Controle de acesso dos usuários principais do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-principals) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) no *Manual do usuário do IAM*.
## Verificar as tags que estão incluídas como parâmetros na solicitação
Várias operações permitem que você especifique tags como parte da solicitação. Por exemplo, ao criar um recurso, você pode especificar as tags anexadas ao novo recurso. Você pode especificar um elemento `Condition` que usa `aws:TagKeys` para permitir ou negar a operação baseado em se uma chave de tag específica, ou um conjunto de chaves, está incluída na solicitação. Este operador de comparação não se importa com o valor que a tag contém. Ele só verifica se uma tag com a chave especificada está presente.
Para verificar a chave de tag, ou uma lista de chaves, especifique um elemento `Condition` com a seguinte sintaxe:
```
"aws:TagKeys": [ "tag-key-1", "tag-key-2", ... , "tag-key-n" ]
```
Você pode usar [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) para prefaciar o operador de comparação para garantir que todas as chaves na solicitação devam corresponder a uma das chaves especificadas na política. Por exemplo, a política de exemplo a seguir permite qualquer operação do Organizations somente se todas as tags presentes na solicitação forem um ***subconjunto das três*** tags nesta política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"department",
"costcenter",
"manager"
]
}
}
}
}
```
------
Ou então, você pode usar [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) para prefaciar o operador de comparação para garantir que pelo menos uma das chaves na solicitação deva corresponder a uma das chaves especificadas na política. Por exemplo, o exemplo de política a seguir só permite uma operação do Organizations se ***pelo menos uma*** das chaves de tags especificadas estiverem presentes na solicitação.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"stage",
"us-east-1",
"domain"
]
}
}
}
}
```
------
Várias operações permitem especificar tags na solicitação. Por exemplo, ao criar um recurso, você pode especificar as tags anexadas ao novo recurso. É possível comparar um par de chave/valor na política com um par de chave/valor incluído na solicitação. Para fazer isso, referencie a tag em um elemento `Condition` prefaciando o nome da chave de tag com a seguinte sequência: `aws:RequestTag/key-name`, depois, especifique o valor da tag que deve estar presente.
Por exemplo, o exemplo de política a seguir nega qualquer solicitação do usuário ou da função para criar uma Conta da AWS em que a solicitação não tenha a `costcenter` tag ou forneça a essa tag um valor diferente de `1``2`, ou`3`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "organizations:CreateAccount",
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/costcenter": "true"
}
}
},
{
"Effect": "Deny",
"Action": "organizations:CreateAccount",
"Resource": "*",
"Condition": {
"ForAnyValue:StringNotEquals": {
"aws:RequestTag/costcenter": [
"1",
"2",
"3"
]
}
}
}
]
}
```
------
Para obter mais informações sobre como usar esses elementos, consulte [aws: TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) e [aws: RequestTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) no *Guia do usuário do IAM*.
# Solução de problemas AWS Organizations de identidade e acesso
Use as informações a seguir para ajudar a diagnosticar e corrigir problemas comuns que você possa encontrar ao trabalhar com o Organizations e o IAM.
**Topics**
+ [Não tenho autorização para executar uma ação no Organizations](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha tenham acesso Conta da AWS aos recursos da minha Organização](#security_iam_troubleshoot-cross-account-access)
## Não tenho autorização para executar uma ação no Organizations
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `my-example-widget` fictício, mas não tem as permissões `organizations:GetWidget` fictícias.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: organizations:GetWidget on resource: my-example-widget
```
Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `my-example-widget` usando a ação `organizations:GetWidget`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Não estou autorizado a realizar iam: PassRole
Se receber uma mensagem de erro informando que você não tem autorização para realizar a ação `iam:PassRole`, suas políticas deverão ser atualizadas para permitir a transmissão de um perfil para o Organizations.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O erro exemplificado a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta usar o console para executar uma ação no Organizations. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha tenham acesso Conta da AWS aos recursos da minha Organização
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Organizations oferece suporte a esses recursos, consulte [Como AWS Organizations funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Registro e monitoramento em AWS Organizations
Como uma prática recomendada, você deve monitorar a sua organização para garantir que as alterações sejam registradas. Isso ajuda você a garantir que qualquer alteração inesperada possa ser investigada e que alterações indesejadas possam ser revertidas. AWS Organizations atualmente suporta dois Serviços da AWS que permitem monitorar sua organização e a atividade que acontece dentro dela.
**Topics**
+ [AWS CloudTrail](orgs_cloudtrail-integration.md)
+ [Amazon EventBridge](orgs_cloudwatch-integration.md)
# Registro de chamadas de API com AWS CloudTrail for AWS Organizations
AWS Organizations é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço em AWS Organizations. CloudTrail captura todas as chamadas de API para eventos AWS Organizations as, incluindo chamadas do AWS Organizations console e de chamadas de código para o. AWS Organizations APIs Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para. AWS Organizations Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no **Histórico de eventos**. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita AWS Organizations, o endereço IP de onde foi feita, quem a fez, quando foi feita e detalhes adicionais.
Para saber mais CloudTrail, consulte o *Guia AWS CloudTrail do usuário*.
**Importante**
Você pode ver todas as CloudTrail informações AWS Organizations somente na região Leste dos EUA (Norte da Virgínia). Se você não vê sua AWS Organizations atividade no CloudTrail console, defina-o para **Leste dos EUA (Norte da Virgínia)** usando o menu no canto superior direito. Se você consultar CloudTrail com as ferramentas do SDK AWS CLI ou SDK, direcione sua consulta para o endpoint do Leste dos EUA (Norte da Virgínia).
## AWS Organizations informações em CloudTrail
CloudTrail é ativado no seu Conta da AWS quando você cria a conta. Quando a atividade ocorre em AWS Organizations, essa atividade é registrada em um CloudTrail evento junto com outros eventos AWS de serviço no **histórico de eventos**. Você pode visualizar, pesquisar e baixar eventos recentes no seu Conta da AWS. Para obter mais informações, consulte [Visualização de eventos com histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para obter um registro contínuo de eventos na sua Conta da AWS, incluindo eventos para o AWS Organizations, crie uma trilha. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Quando o CloudTrail registro está ativado em seu Conta da AWS, as chamadas de API feitas para AWS Organizations ações são rastreadas em arquivos de CloudTrail log, onde são gravadas com outros registros AWS de serviço. Você pode configurar outros Serviços da AWS para analisar e agir com base nos dados do evento coletados nos CloudTrail registros. Para saber mais, consulte:
+ [Visão Geral para Criar uma Trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Serviços e integrações compatíveis](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurando notificações do Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
Todas AWS Organizations as ações são registradas CloudTrail e documentadas na [Referência da AWS Organizations API](https://docs.aws.amazon.com/organizations/latest/APIReference/). Por exemplo, chamadas para `CreateAccount` (incluindo o `CreateAccountResult` evento), `ListHandshakesForAccount``CreatePolicy`, e `InviteAccountToOrganization` geram entradas nos arquivos de CloudTrail log.
Cada entrada de log contém informações sobre quem gerou a solicitação. As informações de identidade do usuário na entrada de log ajudam você a determinar o seguinte:
+ Se a solicitação foi feita com credenciais de usuário raiz ou de usuário do IAM
+ Se a solicitação foi feita com credenciais de segurança temporárias de uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ou de um [usuário federado](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ Se a solicitação foi feita por outro AWS serviço
Para obter mais informações, consulte [Elemento userIdentity do CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
**nota**
CloudTrail registrará eventos na conta que executa uma determinada ação (ou seja, na conta do membro em vez da conta de gerenciamento, se a conta do membro tiver realizado a ação). Por exemplo, uma conta de membro que sai de uma organização será registrada na trilha da conta de membro, e uma conta de gerenciamento que remover uma conta de membro será registrada na trilha da conta de gerenciamento.
## Entendendo as entradas do arquivo de AWS Organizations log
Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e hora da ação, parâmetros de solicitação, e assim por diante. arquivos de log do CloudTrail não são um rastreamento de pilha ordenada das chamadas da API pública. Assim, elas não são exibidas em nenhuma ordem específica.
### Exemplos de entradas de registro: CloseAccount
O exemplo a seguir mostra uma entrada de CloudTrail registro para uma `CloseAccount` chamada de amostra que é gerada quando a API é chamada e o fluxo de trabalho para fechar a conta começa a ser processado em segundo plano.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE:my-admin-role",
"arn": "arn:aws:sts::111122223333:assumed-role/my-admin-role/my-session-id",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/my-admin-role",
"accountId": "111122223333",
"userName": "my-session-id"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2022-03-18T18:17:06Z"
}
}
},
"eventTime": "2022-03-18T18:17:06Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CloseAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": {
"accountId": "555555555555"
},
"responseElements": null,
"requestID": "e28932f8-d5da-4d7a-8238-ef74f3d5c09a",
"eventID": "19fe4c10-f57e-4cb7-a2bc-6b5c30233592",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
O exemplo a seguir mostra uma entrada de CloudTrail registro para uma `CloseAccountResult` chamada após a conclusão bem-sucedida do fluxo de trabalho em segundo plano para fechar a conta.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "organizations.amazonaws.com"
},
"eventTime": "2022-03-18T18:17:06Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CloseAccountResult",
"awsRegion": "us-east-1",
"sourceIPAddress": "organizations.amazonaws.com",
"userAgent": "organizations.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"closeAccountStatus": {
"accountId": "555555555555",
"state": "SUCCEEDED",
"requestedTimestamp": "Mar 18, 2022 6:16:58 PM",
"completedTimestamp": "Mar 18, 2022 6:16:58 PM"
}
},
"eventCategory": "Management"
}
```
### Exemplos de entradas de registro: CreateAccount
O exemplo a seguir mostra uma entrada de CloudTrail registro para uma `CreateAccount` chamada de amostra que é gerada quando a API é chamada e o fluxo de trabalho para criar a conta começa a ser processado em segundo plano.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE:my-admin-role",
"arn": "arn:aws:sts::111122223333:assumed-role/my-admin-role/my-session-id",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/my-admin-role",
"accountId": "111122223333",
"userName": "my-session-id"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-09-16T21:16:45Z"
}
}
},
"eventTime": "2018-06-21T22:06:27Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)...",
"requestParameters": {
"tags": [],
"email": "****",
"accountName": "****"
},
"responseElements": {
"createAccountStatus": {
"accountName": "****",
"state": "IN_PROGRESS",
"id": "car-examplecreateaccountrequestid111",
"requestedTimestamp": "Sep 16, 2020 9:20:50 PM"
}
},
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
O exemplo a seguir mostra uma entrada de CloudTrail registro para uma `CreateAccount` chamada após a conclusão bem-sucedida do fluxo de trabalho em segundo plano para criar a conta.
```
{
"eventVersion": "1.05",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "..."
},
"eventTime": "2020-09-16T21:20:53Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateAccountResult",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "....",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"createAccountStatus": {
"id": "car-examplecreateaccountrequestid111",
"state": "SUCCEEDED",
"accountName": "****",
"accountId": "444455556666",
"requestedTimestamp": "Sep 16, 2020 9:20:50 PM",
"completedTimestamp": "Sep 16, 2020 9:20:53 PM"
}
}
}
```
O exemplo a seguir mostra uma entrada de CloudTrail registro que é gerada depois que um fluxo de trabalho em `CreateAccount` segundo plano falha na criação da conta.
```
{
"eventVersion": "1.06",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-06-21T22:06:27Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateAccountResult",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"createAccountStatus": {
"id": "car-examplecreateaccountrequestid111",
"state": "FAILED",
"accountName": "****",
"failureReason": "EMAIL_ALREADY_EXISTS",
"requestedTimestamp": Jun 21, 2018 10:06:27 PM,
"completedTimestamp": Jun 21, 2018 10:07:15 PM
}
}
}
```
### Exemplo de entrada de registro: CreateOrganizationalUnit
O exemplo a seguir mostra uma entrada de CloudTrail registro para uma `CreateOrganizationalUnit` chamada de amostra.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/diego",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "diego"
},
"eventTime": "2017-01-18T21:40:11Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36",
"requestParameters": {
"name": "OU-Developers-1",
"parentId": "r-a1b2"
},
"responseElements": {
"organizationalUnit": {
"arn": "arn:aws:organizations::111111111111:ou/o-aa111bb222/ou-examplerootid111-exampleouid111",
"id": "ou-examplerootid111-exampleouid111",
"name": "test-cloud-trail",
"path": "o-aa111bb222/r-a1b2/ou-examplerootid111-exampleouid111/"
}
},
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### Exemplo de entrada de registro: InviteAccountToOrganization
O exemplo a seguir mostra uma entrada de CloudTrail registro para uma `InviteAccountToOrganization` chamada de amostra.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/diego",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "diego"
},
"eventTime": "2017-01-18T21:41:17Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "InviteAccountToOrganization",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36",
"requestParameters": {
"notes": "This is a request for Mary's account to join Diego's organization.",
"target": {
"type": "ACCOUNT",
"id": "111111111111"
}
},
"responseElements": {
"handshake": {
"requestedTimestamp": "Jan 18, 2017 9:41:16 PM",
"state": "OPEN",
"arn": "arn:aws:organizations::111111111111:handshake/o-aa111bb222/invite/h-examplehandshakeid111",
"id": "h-examplehandshakeid111",
"parties": [
{
"type": "ORGANIZATION",
"id": "o-aa111bb222"
},
{
"type": "ACCOUNT",
"id": "222222222222"
}
],
"action": "invite",
"expirationTimestamp": "Feb 2, 2017 9:41:16 PM",
"resources": [
{
"resources": [
{
"type": "MASTER_EMAIL",
"value": "diego@example.com"
},
{
"type": "MASTER_NAME",
"value": "Management account for organization"
},
{
"type": "ORGANIZATION_FEATURE_SET",
"value": "ALL"
}
],
"type": "ORGANIZATION",
"value": "o-aa111bb222"
},
{
"type": "ACCOUNT",
"value": "222222222222"
},
{
"type": "NOTES",
"value": "This is a request for Mary's account to join Diego's organization."
}
]
}
},
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### Exemplo de entrada de registro: AttachPolicy
O exemplo a seguir mostra uma entrada de CloudTrail registro para uma `AttachPolicy` chamada de amostra. A resposta indica que a chamada falhou porque o tipo de política solicitado não está ativado na raiz em que a solicitação de anexação foi empreendida.
```
{
"eventVersion": "1.06",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/diego",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "diego"
},
"eventTime": "2017-01-18T21:42:44Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "AttachPolicy",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36",
"errorCode": "PolicyTypeNotEnabledException",
"errorMessage": "The given policy type ServiceControlPolicy is not enabled on the current view",
"requestParameters": {
"policyId": "p-examplepolicyid111",
"targetId": "ou-examplerootid111-exampleouid111"
},
"responseElements": null,
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### Exemplo de entrada de log: política efetiva inválida
O exemplo a seguir mostra uma entrada de CloudTrail registro para um `EffectivePolicyValidation` evento de amostra. Esse evento é emitido para a conta gerencial da organização sempre que uma atualização na organização cria uma política efetiva inválida em qualquer conta.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-07-17T14:53:40Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "EffectivePolicyValidation",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": true,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111111111111",
"serviceEventDetails": {
"accountId": "111111111111",
"policyType": "BACKUP_POLICY",
"state": "INVALID",
"requestTimestamp": "Jul 17, 2025, 2:53:40 PM",
"info": "All validation errors listed",
"validationErrors": [
{
"accountPath": "o-aa111bb222/r-a1b2/111111111111/",
"evaluationTimestamp": "Jul 17, 2025, 2:53:40 PM",
"errorCode": "ELEMENTS_TOO_MANY",
"errorMessage": "'hourly_rule' exceeds the allowed maximum limit 10",
"pathToError": "plans/hourly-backup/rules/hourly_rule",
"contributingPolicies": [
"p-examplepolicyid111"
]
}
]
},
"eventCategory": "Management"
}
```
### Exemplo de entrada de log: política efetiva válida
O exemplo a seguir mostra uma entrada de CloudTrail registro para um `EffectivePolicyValidation` evento de amostra. Esse evento é emitido para a conta gerencial da organização sempre que uma atualização na organização corrige uma política efetiva em uma conta que era inválida anteriormente.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111111111111",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-07-17T14:54:40Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "EffectivePolicyValidation",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": true,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111111111111",
"serviceEventDetails": {
"accountId": "111111111111",
"policyType": "BACKUP_POLICY",
"state": "VALID",
"requestTimestamp": "Jul 17, 2025, 2:54:40 PM",
"info": "Previous effective policy validation error(s) resolved for this account/policyType"
},
"eventCategory": "Management"
}
```
# Amazon EventBridge e AWS Organizations
AWS Organizations pode trabalhar com a Amazon EventBridge, antiga Amazon CloudWatch Events, para gerar eventos quando ações especificadas pelo administrador ocorrem em uma organização. Por exemplo, devido à confidencialidade dessas ações, a maioria dos administradores desejarão ser avisados sempre que alguém criar uma nova conta na organização ou quando um administrador de uma conta membro tentar deixar a organização. Você pode configurar EventBridge regras que buscam essas ações e, em seguida, enviam os eventos gerados para destinos definidos pelo administrador. Os alvos podem ser um tópico do Amazon SNS que envia e-mails ou mensagens de texto a seus assinantes. Você também pode criar uma função do AWS Lambda que registra os detalhes da ação para análise posterior.
Para obter um tutorial que mostra como EventBridge habilitar o monitoramento das principais atividades em sua organização, consulte[Tutorial: Monitore mudanças importantes em sua organização com a Amazon EventBridge](orgs_tutorials_cwe.md).
**Importante**
Atualmente, AWS Organizations está hospedado somente na região Leste dos EUA (Norte da Virgínia) (embora esteja disponível globalmente). Para executar as etapas deste tutorial, você deve configurar o Console de gerenciamento da AWS para usar essa região.
Para saber mais sobre EventBridge, inclusive como configurá-lo e habilitá-lo, consulte o *[Guia EventBridge do usuário da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/)*.
# Validação de conformidade para AWS Organizations
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [documentação AWS de segurança](https://docs.aws.amazon.com/security/).
# Resiliência em AWS Organizations
A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. Regiões da AWS fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que executam o failover automaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre zonas de disponibilidade Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Segurança da infraestrutura em AWS Organizations
Como serviço gerenciado, AWS Organizations é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar Organizations pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para ter mais informações sobre endpoints do FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).