Permissões necessárias para habilitar o acesso confiável Permissões necessárias para desabilitar o acesso confiável Como habilitar ou desabilitar o acesso confiável AWS Organizations e funções vinculadas ao serviço Usando a função AWSServiceRoleForDeclarativePoliciesEC2Report vinculada ao serviço

Usando AWS Organizations com outros Serviços da AWS

Você pode usar o acesso confiável para permitir que um AWS serviço suportado especificado por você, chamado de serviço confiável, execute tarefas em sua organização e em suas contas em seu nome. Isso requer a concessão de permissões ao serviço confiável, mas não afeta as permissões para usuários ou perfis. Ao permitir acesso, o serviço confiável pode criar uma função do IAM chamada função vinculada a serviço em todas as contas em sua organização sempre que a função for necessária. Essa função tem uma política de permissões que consente que o serviço confiável realize as tarefas que estão descritas na documentação do serviço. Isso permite que você especifique configurações e detalhes de configuração que deseja que o serviço confiável mantenha nas contas de sua organização em seu nome. O serviço confiável só cria funções vinculadas ao serviço quando precisa executar ações de gerenciamento em contas, e não necessariamente em todas as contas da organização.

Importante

É altamente recomendável que, quando a opção estiver disponível, você ative e desative o acesso confiável usando somente o console do serviço confiável AWS CLI ou seus equivalentes de API operação. Isso permite que o serviço confiável execute qualquer inicialização necessária ao habilitar o acesso confiável, como a criação de recursos necessários e a limpeza necessária de recursos ao desabilitar o acesso confiável.

Para obter informações sobre como habilitar ou desabilitar o acesso a serviços confiáveis para sua organização usando o serviço confiável, consulte o link Saiba mais abaixo da coluna Supports Trusted Access (Suporta ao acesso confiável) em Serviços da AWS que você pode usar com AWS Organizations.

Se você desabilitar o acesso usando o console, CLI os comandos ou API as operações do Organizations, isso fará com que as seguintes ações ocorram:

O serviço não pode mais criar uma função vinculada ao serviço nas contas de sua organização. Isso significa que o serviço não pode executar operações em seu nome em nenhuma conta nova de sua organização. O serviço ainda pode executar operações em contas mais antigas até que o serviço conclua sua limpeza a partir do AWS Organizations.
O serviço não pode mais realizar tarefas nas contas dos membros da organização, a menos que essas operações sejam explicitamente permitidas pelas IAM políticas associadas às suas funções. Isto inclui qualquer agregação de dados das contas-membro para a conta de gerenciamento ou para uma conta de administrador delegado, quando relevante.
Alguns serviços detectam isso e limpam quaisquer dados ou recursos remanescentes relacionados à integração, enquanto outros serviços param de acessar a organização, mas deixam quaisquer dados históricos e configurações implementadas, para suportar uma possível reativação da integração.

Em vez disso, usar o console ou comandos do outro serviço para desabilitar a integração garante que o outro serviço possa limpar todos os recursos necessários somente para a integração. A forma como o serviço limpa seus recursos nas contas da organização depende desse serviço. Para obter mais informações, consulte a documentação do serviço da AWS .

Permissões necessárias para habilitar o acesso confiável

O acesso confiável requer permissões para dois serviços: AWS Organizations e o serviço confiável. Para permitir o acesso confiável, escolha um dos seguintes cenários:

Se você tiver credenciais com permissões em ambos AWS Organizations e no serviço confiável, habilite o acesso usando as ferramentas (console ou AWS CLI) fornecidas pelo serviço confiável. Isso permite que o serviço habilite o acesso confiável AWS Organizations em seu nome e crie todos os recursos necessários para que o serviço opere em sua organização.

As permissões mínimas para essas credenciais são as seguintes:
- organizations:EnableAWSServiceAccess. Você pode usar também a chave de condição organizations:ServicePrincipal com essa operação para restringir as solicitações que essas operações fazem a uma lista de nomes de entidades primárias de serviço aprovadas. Para obter mais informações, consulte Chaves de condição.
- organizations:ListAWSServiceAccessForOrganization— Necessário se você usa o AWS Organizations console.
- As permissões mínimas necessárias pelo serviço confiável dependem do serviço. Para obter mais informações, consulte a documentação do serviço confiável.
Se uma pessoa tiver credenciais com permissões AWS Organizations , mas outra pessoa tiver credenciais com permissões no serviço confiável, execute essas etapas na seguinte ordem:
1. A pessoa que tem credenciais com permissões AWS Organizations deve usar o AWS Organizations console AWS CLI, o ou um AWS SDK para permitir o acesso confiável ao serviço confiável. Isso concede permissão para que outros serviços executem sua configuração necessária na organização quando a etapa seguinte (etapa 2) é realizada.
  
  As AWS Organizations permissões mínimas são as seguintes:
  - organizations:EnableAWSServiceAccess
  - organizations:ListAWSServiceAccessForOrganization— Exigido somente se você usar o AWS Organizations console
  Para obter as etapas para habilitar o acesso confiável AWS Organizations, consulteComo habilitar ou desabilitar o acesso confiável.
2. A pessoa que tem credenciais com permissões no serviço confiável permite que esse serviço funcione com o AWS Organizations. Isso instrui o serviço a realizar qualquer inicialização necessária, como a criação de recursos necessários para que o serviço confiável opere na organização. Para obter mais informações, consulte as instruções específicas do serviço em Serviços da AWS que você pode usar com AWS Organizations.

Permissões necessárias para desabilitar o acesso confiável

Quando você não quiser mais permitir que o serviço confiável opere em sua organização ou suas contas, escolha um dos seguintes cenários.

Importante

Desabilitar o acesso ao serviço confiável não impede que os usuários e as funções com permissões apropriadas usem esse serviço. Para impedir completamente o acesso de usuários e funções a um AWS serviço, você pode remover as IAM permissões que concedem esse acesso ou usar políticas de controle de serviço (SCPs) em AWS Organizations.

Você pode se SCPs inscrever somente em contas de membros. SCPsnão se aplicam à conta de gerenciamento. Recomendamos que você não execute serviços na conta de gerenciamento. Em vez disso, execute-os em contas de membros onde você pode controlar a segurança usandoSCPs.

Se você tiver credenciais com permissões em ambos AWS Organizations e no serviço confiável, desative o acesso usando as ferramentas (console ou AWS CLI) que estão disponíveis para o serviço confiável. Em seguida, o serviço faz a limpeza, removendo recursos que não são mais necessários e desabilitando o acesso confiável do serviço no AWS Organizations em seu nome.

As permissões mínimas para essas credenciais são as seguintes:
- organizations:DisableAWSServiceAccess. Você pode usar também a chave de condição organizations:ServicePrincipal com essa operação para restringir as solicitações que essas operações fazem a uma lista de nomes de entidades primárias de serviço aprovadas. Para obter mais informações, consulte Chaves de condição.
- organizations:ListAWSServiceAccessForOrganization— Necessário se você usa o AWS Organizations console.
- As permissões mínimas necessárias pelo serviço confiável dependem do serviço. Para obter mais informações, consulte a documentação do serviço confiável.
Se as credenciais com permissões não AWS Organizations forem as credenciais com permissões no serviço confiável, execute essas etapas na seguinte ordem:
1. A pessoa com permissões no serviço confiável primeiro desabilita o acesso usando esse serviço. Isso instrui o serviço confiável a fazer a limpeza removendo os recursos necessários para o acesso confiável. Para obter mais informações, consulte as instruções específicas do serviço em Serviços da AWS que você pode usar com AWS Organizations.
2. A pessoa com permissões de AWS Organizations entrada pode então usar o AWS Organizations console AWS CLI, ou um AWS SDK para desativar o acesso ao serviço confiável. Isso remove as permissões para o serviço confiável de sua organização e de suas contas.
  
  As AWS Organizations permissões mínimas são as seguintes:
  - organizations:DisableAWSServiceAccess
  - organizations:ListAWSServiceAccessForOrganization— Exigido somente se você usar o AWS Organizations console
  Para obter as etapas para desativar o acesso confiável em AWS Organizations, consulteComo habilitar ou desabilitar o acesso confiável.

Como habilitar ou desabilitar o acesso confiável

Se você tiver permissões somente para AWS Organizations e quiser habilitar ou desabilitar o acesso confiável à sua organização em nome do administrador do outro AWS serviço, use o procedimento a seguir.

Importante

Se você desabilitar o acesso usando o console, CLI os comandos ou API as operações do Organizations, isso fará com que as seguintes ações ocorram:

O serviço não pode mais criar uma função vinculada ao serviço nas contas de sua organização. Isso significa que o serviço não pode executar operações em seu nome em nenhuma conta nova de sua organização. O serviço ainda pode executar operações em contas mais antigas até que o serviço conclua sua limpeza a partir do AWS Organizations.
O serviço não pode mais realizar tarefas nas contas dos membros da organização, a menos que essas operações sejam explicitamente permitidas pelas IAM políticas associadas às suas funções. Isto inclui qualquer agregação de dados das contas-membro para a conta de gerenciamento ou para uma conta de administrador delegado, quando relevante.
Alguns serviços detectam isso e limpam quaisquer dados ou recursos remanescentes relacionados à integração, enquanto outros serviços param de acessar a organização, mas deixam quaisquer dados históricos e configurações implementadas, para suportar uma possível reativação da integração.

AWS Management Console

Habilitar o acesso de serviço confiável

Faça login no console do AWS Organizations. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.
Na página Services (Serviços), localize a linha do serviço que você deseja habilitar e escolha seu nome.
Escolha Enable trusted access (Habilitar acesso confiável).
Na caixa de diálogo de confirmação, marque a caixa para Show the option to enable trusted access (Mostrar a opção para habilitar o acesso confiável), insira enable na caixa e, em seguida, escolha Enable trusted access (Ativar o acesso confiável).
Se você estiver habilitando o acesso, informe ao administrador do outro AWS serviço que agora ele pode habilitar o outro serviço para trabalhar com ele AWS Organizations.

Para desabilitar acesso a serviço confiável

Faça login no console do AWS Organizations. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.
Na página Services (Serviços), localize a linha do serviço que você deseja desabilitar e escolha seu nome.
Aguarde até que o administrador do outro serviço informe que o serviço está desabilitado e que os recursos foram limpos.
Na caixa de diálogo de confirmação, insira disable e, em seguida, escolha Disable trusted access (Desabilitar acesso confiável).

AWS CLI, AWS API

Para habilitar ou desabilitar acesso a serviço confiável

Você pode usar os seguintes AWS CLI comandos ou API operações para ativar ou desativar o acesso a serviços confiáveis:

AWS CLI: AWS organizações enable-aws-service-access
AWS CLI: AWS organizações disable-aws-service-access
AWS API: E nableAWSService Access
AWS API: isableAWSServiceAcesso D

AWS Organizations e funções vinculadas ao serviço

AWS Organizations usa funções IAM vinculadas ao serviço para permitir que serviços confiáveis realizem tarefas em seu nome nas contas dos membros da sua organização. Quando você configura um serviço confiável e o autoriza a se integrar com sua organização, esse serviço pode solicitar que o AWS Organizations crie uma função vinculada ao serviço em sua conta-membro. O serviço confiável faz isso de forma assíncrona, conforme a necessidade, e não obrigatoriamente em todas as contas da organização ao mesmo tempo. A função vinculada ao serviço tem IAM permissões predefinidas que permitem que o serviço confiável execute somente tarefas específicas dentro dessa conta. Em geral, a AWS gerencia todas as funções vinculadas ao serviço, o que significa que você geralmente não pode alterar as funções ou as políticas anexadas.

Para tornar tudo isso possível, quando você criar uma conta em uma organização ou aceitar um convite para ingressar sua conta existente em uma organização, o AWS Organizations faz a provisão da conta-membro com uma função vinculada ao serviço denominada AWSServiceRoleForOrganizations. Somente o AWS Organizations serviço em si pode assumir esse papel. A função tem permissões que permitem AWS Organizations criar funções vinculadas a serviços para outras pessoas. Serviços da AWS Essa função vinculada ao serviço está presente em todas as organizações.

Embora não seja recomendável, se sua organização tiver apenas os recursos de faturamento consolidado habilitados, a função vinculada a serviço denominada AWSServiceRoleForOrganizations nunca será usada e você poderá excluí-la. Para habilitar posteriormente todos os recursos em sua organização, a função será necessária e deverá ser restaurada. As seguintes verificações ocorrem quando você inicia o processo para ativar todos os recursos:

Para cada conta-membro que foi convidada a ingressar na organização – O administrador da conta recebe uma solicitação para concordar em habilitar todos os recursos. Para aceitar a solicitação corretamente, o administrador deve ter as permissões organizations:AcceptHandshake e iam:CreateServiceLinkedRole caso a função vinculada ao serviço (AWSServiceRoleForOrganizations) ainda não exista. Se a função AWSServiceRoleForOrganizations já existir, o administrador precisa apenas da permissão organizations:AcceptHandshake para concordar com a solicitação. Quando o administrador concorda com a solicitação, AWS Organizations cria a função vinculada ao serviço, caso ela ainda não exista.
Para cada conta-membro que foi criada na organização – O administrador da conta recebe uma solicitação para recriar a função vinculada ao serviço. (O administrador da conta-membro não recebe uma solicitação para habilitar todos os recursos, pois o administrador da conta de gerenciamento (antes conhecida como "conta mestra") é considerado o proprietário das contas-membro criadas.) O AWS Organizations cria a função vinculada ao serviço quando o administrador da conta-membro aceita com a solicitação. O administrador deve ter as permissões organizations:AcceptHandshake e iam:CreateServiceLinkedRole para aceitar com êxito o handshake.

Após ativar todos os recursos em sua organização, você não poderá mais excluir a função vinculada ao serviço AWSServiceRoleForOrganizations de qualquer conta.

Importante

AWS Organizations SCPsnunca afetam as funções vinculadas ao serviço. Essas funções estão isentas de quaisquer SCP restrições.

Usando a função AWSServiceRoleForDeclarativePoliciesEC2Report vinculada ao serviço

A função AWSServiceRoleForDeclarativePoliciesEC2Report vinculada ao serviço é usada por Organizations para descrever os estados dos atributos da conta para que as contas dos membros criem relatórios de Políticas Declarativas. As permissões da função são definidas noAWS política gerenciada: DeclarativePoliciesEC2Report.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Adição, atualização e remoção de tags

Serviços compatíveis com o Organizations