As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Visão geral
<a name="overview"></a>

Trabalhamos com uma empresa farmacêutica multinacional para realizar atividades de prova de conceito (PoC) na AWS a fim de analisar como ela poderia migrar suas aplicações on-premises para a Nuvem AWS. Quando começaram a escalar e acelerar seu fluxo de trabalho de migração para incluir workloads de produção, ficou claro que precisavam de uma zona de pouso da AWS regulamentada e compatível para apoiar sua meta. Usamos o [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) para projetar e implementar uma nova zona de pouso da AWS.

Um aspecto importante de uma nova zona de pouso da AWS e de sua organização é a estrutura de suas *unidades organizacionais* (UOs). Uma UO é um agrupamento lógico de Contas da AWS criadas usando o [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html). Você pode usar UOs para organizar as Contas da AWS em uma hierarquia e aplicar controles de gerenciamento e governança de forma consistente e mais fácil.

Você pode anexar controles baseados em políticas a uma UO e a Contas da AWS. As UOs secundárias em uma UO herdam automaticamente esses controles. Portanto, as UOs desempenham um papel fundamental no gerenciamento da segurança e da governança no AWS Organizations.

Uma *política* é um documento JSON que inclui uma ou mais instruções que definem os controles que você deseja aplicar a um grupo de Contas da AWS. O AWS Organizationsatualmente é compatível com quatro tipos de políticas, também conhecidas como *políticas de controle de serviços* (SCPs). Um SCP define as ações e os Serviços da AWS que estão disponíveis para uso em diferentes Contas da AWS. Por exemplo, você pode usar uma SCP para exigir que a instância do Amazon Elastic Compute Cloud (Amazon EC2) seja inicializada com um tipo de instância específico.

## Tipos de políticas
<a name="policy-types"></a>

Os tipos de política SCP incluem o seguinte:
+ Listas de permissões e listas de negações são estratégias complementares que você pode usar para aplicar [SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html) para filtrar as permissões disponíveis para as contas.
+ As [políticas de marcação](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) ajudam você a manter tags consistentes, incluindo o tratamento preferencial de maiúsculas e minúsculas de chaves e os valores das tags nas contas.
+ As [políticas de backup](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup.html) configuram os backups para os tipos de recursos compatíveis, como a janela de tempo do backup e os cofres de destino para backups nas Regiões da AWS.
+ As [políticas de exclusão de serviços de IA](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) possibilitam ou não a melhoria contínua dos serviços de inteligência artificial da AWS em todo o mundo.

**Política de comportamento herdado:** quando você anexa uma política a uma UO específica, as contas que estão diretamente sob essa UO ou qualquer UO secundária herdam a política. Quando você anexa uma política a uma conta específica, ela afeta apenas essa conta. Você pode substituir políticas herdadas introduzindo políticas de exceção. A herança permite explicitamente que todas as permissões fluam da raiz (UO) para cada Conta da AWS nessa UO e na UO secundária, a menos que você negue explicitamente uma permissão. Para negar uma permissão, você cria uma política adicional e a anexa à UO apropriada ou à Conta da AWS. Para obter mais informações sobre exceções e herança de políticas, consulte a documentação do [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html#orgs_manage_policies_inheritance_auth_scps).

O AWS Control Tower também fornece seu próprio conjunto de controles preventivos e de detecção (também chamados de *barreiras de proteção*) usando a estrutura da UO. Os controles preventivos do AWS Control Tower evitam ações usando os SCPs no AWS Organizations. Controles de detecção reportam sobre o desvio configuracional em relação ao controle usando o AWS Config. Para obter mais informações sobre esses controles, consulte a [documentação do AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/controls.html).

Você também pode habilitar o [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html) para automatizar as verificações de práticas recomendadas de segurança, agregar alertas de segurança em um único local e formato e entender a postura geral de segurança em todas as suas Contas da AWS.