Terminologia e concetti per AWS Organizations

Tutte le funzionalità è il set di funzionalità predefinito disponibile per AWS Organizations. È possibile impostare politiche e requisiti di configurazione centrali per un'intera organizzazione, creare autorizzazioni o funzionalità personalizzate all'interno dell'organizzazione, gestire e organizzare gli account in un'unica fattura e delegare le responsabilità ad altri account per conto dell'organizzazione. È inoltre possibile utilizzare le integrazioni con altri Servizi AWS per definire configurazioni centrali, meccanismi di sicurezza, requisiti di controllo e condivisione delle risorse tra tutti gli account dei membri dell'organizzazione. Per ulteriori informazioni, consulta Utilizzo AWS Organizations con altri Servizi AWS.

La modalità Tutte le funzionalità offre tutte le funzionalità della fatturazione consolidata insieme alle funzionalità amministrative.

La fatturazione consolidata è il set di funzionalità che fornisce funzionalità di fatturazione condivise, ma non include le funzionalità più avanzate di. AWS Organizations Ad esempio, non è possibile consentire l'integrazione di altri AWS servizi con l'organizzazione in modo che funzionino su tutti gli account dell'organizzazione o utilizzare policy per limitare le operazioni consentite a utenti e ruoli in account diversi.

Puoi abilitare tutte le funzionalità per un'organizzazione che originariamente supportava solo le funzionalità di fatturazione consolidata. Per abilitare tutte le caratteristiche, tutti gli account membri invitati devono approvare la modifica accettando l'invito inviato quando l'account di gestione avvia il processo. Per ulteriori informazioni, consulta Abilitazione di tutte le funzionalità per un'organizzazione con AWS Organizations.

Un'organizzazione è un insieme di elementi Account AWSche è possibile gestire centralmente e organizzare in una struttura gerarchica ad albero con una radice nella parte superiore e unità organizzative annidate sotto la radice. Ogni account può trovarsi direttamente nella directory principale o collocato in uno dei punti della gerarchia. OUs

Ogni organizzazione è composta da:

Un'organizzazione ha la funzionalità determinata dall'insieme di caratteristiche che si abilita.

Una radice amministrativa (root) è contenuta nell'account di gestione ed è il punto di partenza per l'organizzazione di Account AWS. La radice è il contenitore più in alto nella gerarchia dell'organizzazione. In base a questa radice, puoi creare unità organizzative (OUs) per raggruppare logicamente i tuoi account e organizzarli OUs in una gerarchia che meglio si adatti alle tue esigenze.

Se applichi una politica di gestione alla radice, questa si applica a tutte le unità organizzative (OUs) e agli account, incluso l'account di gestione dell'organizzazione.

Se si applica un criterio di autorizzazione (ad esempio, un criterio di controllo del servizio (SCP)), alla radice, tale politica si applica a tutte le unità organizzative (OUs) e agli account membri dell'organizzazione. Non si applica all'account di gestione dell'organizzazione.

Un'unità organizzativa (OU) è un gruppo Account AWSall'interno di un'organizzazione. Un'unità organizzativa può anche contenere altre unità che OUs consentono di creare una gerarchia. Ad esempio, è possibile raggruppare tutti gli account che appartengono allo stesso reparto in un'unità organizzativa dipartimentale. Allo stesso modo, è possibile raggruppare tutti gli account che eseguono servizi di sicurezza in un'unità organizzativa di sicurezza.

OUssono utili quando è necessario applicare gli stessi controlli a un sottoinsieme di account dell'organizzazione. Il nesting OUs consente unità di gestione più piccole. Ad esempio, puoi creare OUs per ogni carico di lavoro, quindi crearne due annidate OUs in ogni unità organizzativa di carico di lavoro per dividere i carichi di lavoro di produzione da quelli di pre-produzione. Queste OUs ereditano le policy dall'unità organizzativa principale oltre a tutti i controlli assegnati direttamente all'unità organizzativa a livello di team. Includendo la radice e quella Account AWS creata nella parte inferioreOUs, la gerarchia può avere una profondità di cinque livelli.

An Account AWSè un contenitore per le tue AWS risorse. Crei e gestisci AWS le tue risorse in un unico Account AWS ambiente e Account AWS fornisce funzionalità amministrative per l'accesso e la fatturazione.

L'uso di più risorse Account AWS è una best practice per scalare l'ambiente, in quanto fornisce un limite di fatturazione per i costi, isola le risorse per motivi di sicurezza, offre flessibilità ai singoli utenti e ai team, oltre ad essere adattabile ai nuovi processi.

Esistono due tipi di account in un'organizzazione: un account singolo designato come account di gestione e uno o più account membro.

Un account di gestione è l'account Account AWS che usi per creare la tua organizzazione. Dall'account di gestione, puoi effettuare le seguenti operazioni:

L'account di gestione è il proprietario finale dell'organizzazione e ha il controllo finale sulla sicurezza, l'infrastruttura e le politiche finanziarie. Questo account ha la funzione di conto di pagamento ed è responsabile del pagamento di tutti gli addebiti maturati dai conti della sua organizzazione.

Un account membro è un account Account AWS, diverso dall'account di gestione, che fa parte di un'organizzazione. Se sei un amministratore di un'organizzazione, puoi creare account membro nell'organizzazione e invitare gli account esistenti a unirsi all'organizzazione. Puoi anche applicare politiche agli account dei membri.

Consigliamo di utilizzare l'account di gestione e i relativi utenti e ruoli solo per le attività che devono essere eseguite da tale account. Consigliamo di archiviare tutte le risorse AWS in altri account membro nell'organizzazione ed escluderle dall'account di gestione. Questo perché le funzionalità di sicurezza come Organizations service control policies (SCPs) non limitano gli utenti o i ruoli nell'account di gestione. Inoltre, la separazione delle risorse dall'account di gestione può aiutare a comprendere gli addebiti sulle fatture. Dall'account di gestione dell'organizzazione, puoi designare uno o più account membro come account amministratore delegato per aiutarti a implementare questo suggerimento. Esistono due tipi di amministratori delegati:

Un invito è il processo per chiedere a un altro account di entrare a far parte della tua organizzazione. Un invito può essere inviato solo dall'account di gestione dell'organizzazione. L'invito viene esteso all'ID dell'account o all'indirizzo e-mail associato all'account invitato. Dopo che l'account invitato accetta un invito, diventa un account membro nell'organizzazione. Gli inviti possono anche essere inviati a tutti gli account membri attuali quando l'organizzazione ha bisogno che tutti i membri approvino la modifica dal solo supporto delle caratteristiche di fatturazione consolidata per supportare tutte le funzionalità dell'organizzazione. Gli inviti funzionano attraverso le strette di mano tra gli account. Gli handshake potrebbero non essere visibili quando utilizzi la console AWS Organizations . Ma se usi l'opzione AWS CLI o AWS Organizations API, devi lavorare direttamente con le strette di mano.

Una stretta di mano è un processo in più fasi di scambio di informazioni tra due parti. Uno dei suoi usi principali AWS Organizations è quello di fungere da implementazione di base per gli inviti. L'invio e la risposta dei messaggi di handshake avviene tra l'iniziatore dell'handshake e il destinatario. I messaggi vengono passati in un modo che contribuisce a garantire che entrambe le parti sappiano sempre qual è lo stato corrente. Gli handshake vengono utilizzati anche quando si modifica l'organizzazione dal solo supporto delle caratteristiche di fatturazione consolidata per supportare tutte le caratteristiche che AWS Organizations offre. In genere è necessario interagire direttamente con le strette di mano solo se si utilizzano strumenti da riga di comando come. AWS Organizations API AWS CLI

Una politica di controllo dei servizi è un tipo di politica che offre il controllo centralizzato sulle autorizzazioni massime disponibili per IAM utenti e IAM ruoli in un'organizzazione.

Ciò significa che è SCPs necessario specificare i controlli incentrati sui principali. SCPscrea una barriera per le autorizzazioni o imposta dei limiti alle autorizzazioni massime disponibili per i responsabili nei tuoi account membro. Utilizzate un SCP quando volete applicare centralmente controlli di accesso coerenti ai responsabili della vostra organizzazione.

Ciò può includere la specificazione a quali servizi possono accedere IAM gli utenti e IAM i ruoli, a quali risorse possono accedere o le condizioni in base alle quali possono effettuare richieste (ad esempio, da regioni o reti specifiche). Per ulteriori informazioni, consulta SCPs.

Una politica di controllo delle risorse è un tipo di politica che offre il controllo centralizzato sulle autorizzazioni massime disponibili per le risorse in un'organizzazione.

Ciò significa che è RCPs necessario specificare controlli incentrati sulle risorse. RCPscrea una barriera di autorizzazioni, o imposta dei limiti, alle autorizzazioni massime disponibili per le risorse nei tuoi account membro. Usa un RCP quando vuoi per applicare centralmente controlli di accesso coerenti tra le risorse della tua organizzazione.

Ciò può includere la limitazione dell'accesso alle risorse in modo che possano accedervi solo le identità che appartengono all'organizzazione o la specificazione delle condizioni in base alle quali le identità esterne all'organizzazione possono accedere alle risorse. Per ulteriori informazioni, consulta RCPs.

Una politica dichiarativa è un tipo di politica che consente di dichiarare e applicare a livello centrale le configurazioni desiderate per un determinato ambiente su larga scala Servizio AWS all'interno dell'organizzazione. Una volta collegata, la configurazione viene sempre mantenuta quando il servizio aggiunge nuove funzionalità oppureAPIs. per ulteriori informazioni, consulta la politica dichiarativa.

Una policy di backup è un tipo di policy che consente di gestire e applicare centralmente i piani di backup alle AWS risorse degli account di un'organizzazione. Per ulteriori informazioni, consulta la politica di backup.

Una politica sui tag è un tipo di politica che consente di standardizzare i tag allegati alle AWS risorse negli account di un'organizzazione. Per ulteriori informazioni, consulta la politica dei tag.

Una policy di chatbot è un tipo di policy che consente di controllare l'accesso agli account di un'organizzazione da applicazioni di chat come Slack e Microsoft Teams. Per ulteriori informazioni, consulta la politica dei Chatbot.

Una politica di disattivazione dei servizi di intelligenza artificiale è un tipo di politica che consente di controllare la raccolta dei dati per i servizi di AWS intelligenza artificiale per tutti gli account di un'organizzazione. Per ulteriori informazioni, consulta la politica di disattivazione dei servizi AI.