Terminologia e conceitos para AWS Organizations

Todos os recursos são o conjunto de recursos padrão que está disponível para AWS Organizations. Você pode definir políticas centrais e requisitos de configuração para uma organização inteira, criar permissões ou recursos personalizados dentro da organização, gerenciar e organizar suas contas em uma única fatura e delegar responsabilidades a outras contas em nome da organização. Você também pode usar integrações com outros Serviços da AWS para definir configurações centrais, mecanismos de segurança, requisitos de auditoria e compartilhamento de recursos em todas as contas-membro em sua organização. Para obter mais informações, consulte Usando AWS Organizations com outros Serviços da AWS.

O modo Todos os recursos fornece todos os recursos de faturamento consolidado junto com os recursos administrativos.

O faturamento consolidado é o conjunto de recursos que fornece a funcionalidade de cobrança compartilhada, mas não inclui os recursos mais avançados do. AWS Organizations Por exemplo, você não pode permitir que outros AWS serviços se integrem à sua organização para funcionar em todas as contas, nem usar políticas para restringir o que usuários e funções em diferentes contas podem fazer.

Você pode habilitar todos os recursos em uma organização que originalmente oferecia suporte apenas aos recursos de faturamento consolidado. Para habilitar todos os recursos, todas as contas-membro convidadas devem aprovar a alteração aceitando o convite enviado quando a conta de gerenciamento inicia o processo. Para obter mais informações, consulte Habilitando todos os recursos de uma organização com AWS Organizations.

Uma organização é um conjunto de Contas da AWS que você pode gerenciar centralmente e organizar em uma estrutura hierárquica em forma de árvore com uma raiz na parte superior e unidades organizacionais aninhadas sob a raiz. Cada conta pode estar diretamente na raiz ou colocada em uma das da OUs hierarquia.

Cada organização consiste em:

Uma organização tem a funcionalidade que é determinada pelo conjunto de recursos que você ativar.

Uma raiz administrativa (raiz) está contida na conta de gerenciamento e é o ponto de partida para organizar suas Contas da AWS. A raiz é o contêiner mais alto na hierarquia da sua organização. Sob essa raiz, você pode criar unidades organizacionais (OUs) para agrupar logicamente suas contas e organizá-las OUs em uma hierarquia que melhor atenda às suas necessidades.

Se você aplicar uma política de gerenciamento à raiz, ela se aplicará a todas as unidades organizacionais (OUs) e contas, incluindo a conta de gerenciamento da organização.

Se você aplicar uma política de autorização (por exemplo, uma política de controle de serviço (SCP)) à raiz, ela se aplicará a todas as unidades organizacionais (OUs) e contas de membros na organização. Ela não se aplica à conta de gerenciamento da organização.

Uma unidade organizacional (OU) é um grupo de Contas da AWSdentro de uma organização. Uma OU também pode conter outras, OUs permitindo que você crie uma hierarquia. Por exemplo, você pode agrupar todas as contas que pertencem ao mesmo departamento em uma OU departamental. Da mesma forma, você pode agrupar todas as contas que executam serviços de segurança em uma OU de segurança.

OUssão úteis quando você precisa aplicar os mesmos controles a um subconjunto de contas em sua organização. O aninhamento OUs permite unidades menores de gerenciamento. Por exemplo, você pode criar OUs para cada carga de trabalho e, em seguida, criar duas aninhadas OUs em cada OU de carga de trabalho para dividir as cargas de trabalho de produção da pré-produção. Eles OUs herdam as políticas da OU principal, além de quaisquer controles atribuídos diretamente à OU em nível de equipe. Incluindo a raiz e Contas da AWS criada na mais baixaOUs, sua hierarquia pode ter cinco níveis de profundidade.

An Conta da AWSé um contêiner para seus AWS recursos. Você cria e gerencia seus AWS recursos em um Conta da AWS, e Conta da AWS fornece recursos administrativos para acesso e cobrança.

Usar vários Contas da AWS é uma prática recomendada para escalar seu ambiente, pois fornece um limite de faturamento para custos, isola recursos para fins de segurança, oferece flexibilidade para indivíduos e equipes, além de ser adaptável a novos processos.

Há dois tipos de contas em uma organização: uma única conta designada como conta de gerenciamento e uma ou mais contas-membro.

Uma conta de gerenciamento é aquela Conta da AWS que você usa para criar sua organização. Na conta de gerenciamento, é possível fazer o seguinte:

A conta de gerenciamento é a proprietária final da organização, com controle final sobre as políticas de segurança, infraestrutura e finanças. Essa conta tem o papel de uma conta pagadora e é responsável pelo pagamento de todos as cobranças acumuladas pelas contas em sua organização.

Uma conta de membro é uma conta Conta da AWS, diferente da conta de gerenciamento, que faz parte de uma organização. Como um administrador de uma organização, você pode criar contas-membro em sua organização e convidar contas existentes a participarem da organização. Você também pode aplicar políticas a contas-membro.

Recomendamos usar a conta de gerenciamento do  e seus usuários e perfis somente para as tarefas que só podem ser executadas por essa conta. Além disso, recomendamos armazenar todos os seus recursos da  AWS  em outras contas-membro na organização e mantê-las fora da conta de gerenciamento. Isso ocorre porque os recursos de segurança, como as políticas de controle de serviços (SCPs) do Organizations, não restringem nenhum usuário ou função na conta de gerenciamento. Separar seus recursos da sua conta de gerenciamento também pode ajudar a entender os lançamentos em suas faturas. Na conta de gerenciamento da organização, é possível designar uma ou mais contas-membro como uma conta de administrador delegado para obter ajuda para implementar essa recomendação. Há dois tipos de administradores delegados:

Um convite é o processo de pedir para outra conta ingressar na sua organização. Um convite só pode ser emitido pela conta de gerenciamento da organização. O convite é estendido para o ID da conta ou para o endereço de e-mail associado à conta convidada. Após a conta convidada aceitar um convite, ela se torna uma conta-membro na organização. Os convites também podem ser enviados a todas as contas-membro atuais quando a organização precisa que todos os membros aprovem a alteração de oferecer suporte apenas a recursos de faturamento consolidado para oferecer suporte a todos os recursos na organização. Os convites funcionam com a troca de handshakes das contas. Talvez você não veja handshakes quando trabalha no console do AWS Organizations . Mas se você usar o AWS CLI ou AWS Organizations API, deverá trabalhar diretamente com apertos de mão.

Um handshake é um processo de várias etapas de troca de informações entre duas partes. Um de seus principais usos AWS Organizations é servir como implementação subjacente para convites. As mensagens de handshake são transmitidas entre o iniciador de handshake e o destinatário e respondidas por eles. As mensagens são transmitidas de uma forma que ajuda ambas as partes a saber sempre qual é o status atual. Handshakes também são usados ao alterar a organização de oferecer suporte apenas a recursos de faturamento consolidado para oferecer suporte a todos os recursos disponibilizados pelo AWS Organizations . Geralmente, você precisa interagir diretamente com os apertos de mão somente se trabalhar com as ferramentas de linha de comando AWS Organizations API ou com as ferramentas de linha de comando, como o. AWS CLI

Uma política de controle de serviços é um tipo de política que oferece controle central sobre o máximo de permissões disponíveis para IAM usuários e IAM funções em uma organização.

Isso significa que SCPs especifique controles centrados no principal. SCPscrie uma barreira de permissões ou defina limites para o máximo de permissões disponíveis para os diretores em suas contas de membros. Você usa um SCP quando deseja aplicar centralmente controles de acesso consistentes aos diretores da sua organização.

Isso pode incluir especificar quais serviços seus IAM usuários e IAM funções podem acessar, quais recursos eles podem acessar ou as condições sob as quais eles podem fazer solicitações (por exemplo, de regiões ou redes específicas). Para obter mais informações, consulte SCPs.

Uma política de controle de recursos é um tipo de política que oferece controle central sobre o máximo de permissões disponíveis para recursos em uma organização.

Isso significa que RCPs especifique controles centrados em recursos. RCPscrie uma barreira de permissões ou defina limites para o máximo de permissões disponíveis para recursos em suas contas de membros. Use um RCP quando quiser aplicar centralmente controles de acesso consistentes em todos os recursos da sua organização.

Isso pode incluir restringir o acesso aos seus recursos para que eles só possam ser acessados por identidades pertencentes à sua organização ou especificar as condições sob as quais identidades externas à sua organização podem acessar seus recursos. Para obter mais informações, consulte RCPs.

Uma política declarativa é um tipo de política que permite declarar e aplicar centralmente as configurações desejadas para uma determinada empresa em grande escala AWS service (Serviço da AWS) em toda a organização. Depois de anexada, a configuração é sempre mantida quando o serviço adiciona novos recursos ouAPIs. Para obter mais informações, consulte política declarativa.

Uma política de backup é um tipo de política que permite gerenciar e aplicar centralmente planos de backup aos AWS recursos nas contas de uma organização. Para obter mais informações, consulte a política de backup.

Uma política de tags é um tipo de política que permite padronizar as tags anexadas aos AWS recursos nas contas de uma organização. Para obter mais informações, consulte a política de tags.

Uma política de chatbot é um tipo de política que permite controlar o acesso às contas de uma organização a partir de aplicativos de bate-papo, como Slack e Microsoft Teams. Para obter mais informações, consulte a política do Chatbot.

Uma política de exclusão de serviços de IA é um tipo de política que permite controlar a coleta de dados de serviços de AWS IA para todas as contas em uma organização. Para obter mais informações, consulte a política de exclusão de serviços de IA.