Questions d'ordre général

Qu'est-ce qu'AWS Organizations ?

AWS Organizations vous aide à gérer votre environnement de façon centralisée à mesure que vous faites grandir et évoluer vos charges de travail sur AWS. Que vous soyez une start-up en plein essor ou une grande entreprise, Organizations vous aide à gérer vos factures, à contrôler vos accès, la conformité et la sécurité, ainsi qu’à partager des ressources sur vos comptes AWS, et ce de manière centralisée.

Quelles sont les fonctionnalités de gouvernance et de gestion centrales activées par AWS Organizations ?

AWS Organizations permet d'effectuer les actions suivates :

  • Facturation consolidée sur plusieurs comptes AWS
  • Automatisation de la création et de la gestion de comptes AWS
  • Contrôle de l'accès aux services, ressources et régions AWS
  • Gestion centralisée des politiques à l'échelle de plusieurs comptes AWS
  • Configuration de services AWS sur plusieurs comptes

Dans quelles régions AWS Organizations est-il disponible ?

AWS Organizations est disponible dans toutes les régions commerciales AWS et dans la région AWS GovCloud (US). Les points de terminaison de services pour AWS Organizations sont situés dans la région USA Est (Virginie du Nord) pour les organisations commerciales, et dans la région AWS GovCloud (USA Ouest) pour les organisations AWS GovCloud (US).

Comment bénéficier de ce service ?

Pour démarrer, vous devez tout d'abord déterminer lequel de vos comptes AWS deviendra le compte principal. Vous pouvez créer un nouveau compte AWS ou en sélectionner un existant.

  1. Connectez-vous en tant qu'administrateur dans AWS Management Console avec le compte AWS que vous souhaitez utiliser pour gérer votre organisation.
  2. Accédez à la console AWS Organizations.
  3. Sélectionnez Create Organization.
  4. Sélectionnez les fonctionnalités que vous souhaitez activer pour votre organisation. Vous avez le choix entre consolidated billing only features pour les fonctionnalités de facturation consolidée uniquement et all features pour toutes les fonctionnalités.
  5. Ajoutez des comptes AWS à votre organisation avec une des deux méthodes suivantes :
    1. Invitez les comptes AWS à rejoindre votre organisation en utilisant leur ID de compte AWS ou l'adresse e-mail associée.
    2. Créez de nouveaux comptes AWS.
  6. Modélisez votre hiérarchie organisationnelle en regroupant vos comptes AWS dans des UO.
  7. Si vous décidez d'activer toutes les fonctionnalités pour votre organisation, vous avez la possibilité de créer et d'attribuer des contrôles à ces UO.
 
Vous pouvez également utiliser la CLI AWS (pour un accès par ligne de commande) et les kits SDK (pour un accès programmatique) afin d'exécuter les mêmes étapes et de créer une nouvelle organisation.

Remarque : La création d'une nouvelle organisation peut être effectuée uniquement depuis un compte AWS ne faisant pas déjà partie d'une autre organisation.

Pour plus d'informations, consultez Mise en route avec AWS Organizations.

Quelle est la différence entre AWS Control Tower et AWS Organizations ?

AWS Control Tower abstrait plusieurs services AWS (notamment AWS Organizations) pour fournir une configuration automatisée d'un environnement bien architecturé sécurisé. AWS Control Tower convient parfaitement si vous souhaitez automatiser le déploiement d'un environnement multi-compte en suivant les meilleures pratiques AWS. Si vous souhaitez définir votre propre environnement multi-compte avec des fonctionnalités avancées de gouvernance et de gestion, nous recommandons AWS Organizations.

Concepts de base

Qu'est-ce qu'une organisation ?

Une organisation est un ensemble de comptes AWS que vous pouvez organiser hiérarchiquement et gérer de façon centralisée.

Qu'est-ce qu'un compte AWS ?

Un compte AWS est un conteneur pour vos ressources AWS. Vous créez et gérez vos ressources AWS dans un compte AWS et celui-ci vous offre des fonctions d'administration à des fins d'accès et de facturation.

Qu'est-ce qu'un compte principal ?

Un compte principal est le compte AWS que vous utilisez pour créer votre organisation. Depuis le compte principal, il est possible de créer d'autres comptes dans votre organisation, d'inviter d'autres comptes à rejoindre votre organisation, de gérer ces invitations et de supprimer des comptes de votre organisation. Vous pouvez également associer des politiques à différentes entités, notamment aux racines d'administration, aux unités organisationnelles (UO) et aux comptes au sein de votre organisation. Le compte principal joue le rôle de compte payeur et est tenu de régler tous les frais générés par les comptes de son organisation. Vous ne pouvez pas modifier le compte principal de votre organisation.

Qu'est-ce qu'un compte membre ?

Un compte membre est un compte AWS faisant partie d'une organisation sans en être le compte principal. Si vous êtes l'administrateur d'une organisation, vous pouvez créer des comptes membres au sein de l'organisation et inviter des comptes existants à rejoindre l'organisation. Vous pouvez également appliquer des politiques sur les comptes membres. Un compte membre ne peut appartenir qu'à une seule organisation à la fois.

Qu'est-ce qu'une racine d'administration ?

Une racine d'administration est le point de départ qui permet d'organiser vos comptes AWS. La racine d'administration est le conteneur le plus vaste dans votre hiérarchie organisationnelle. Cette racine permet de créer des UO pour regrouper vos comptes de façon logique et de classer ces UO dans une hiérarchie correspondant le mieux à vos besoins.

Qu'est-ce qu'une unité d'organisation (UO) ?

Une unité organisationnelle (UO) est un groupe de comptes AWS au sein d'une organisation. Une UO peut également contenir d'autres UO, afin de produire une hiérarchie. Par exemple, vous pouvez regrouper tous les comptes qui appartiennent au même service dans une UO de service. De même, vous pouvez regrouper tous les comptes exécutant des services de production dans une UO de production. Les UO sont utiles lorsque vous devez appliquer les mêmes contrôles à un sous-ensemble de comptes au sein de votre organisation. L'imbrication des UO permet d'obtenir des unités de gestion plus compactes. Par exemple, dans une UO de service, vous pouvez regrouper des comptes appartenant à des équipes individuelles dans des UO de niveau équipe. Ces UO héritent des politiques de l'UO parent en plus des contrôles attribués directement à l'UO de niveau équipe.

Qu'est-ce qu'une stratégie ?

Une politique est un « document » contenant une ou plusieurs instructions, qui définissent les contrôles appliqués à un groupe de comptes AWS. Dans cette version, AWS Organizations prend en charge un type spécifique de stratégie appelé stratégie de contrôle de service (SCP). Une SCP définit les actions de service AWS, comme Amazon EC2 RunInstances, qui peuvent être utilisées sur différents comptes au sein d'une organisation.

Organisation de comptes AWS

Puis-je définir et gérer mon organisation au niveau régional ?

Non. Toutes les entités de l'organisation sont accessibles au niveau mondial. Cela s'apparente au fonctionnement actuel d'AWS Identity and Access Management (IAM). Vous n'avez pas besoin de spécifier une région lorsque vous créez et gérez votre organisation. Les utilisateurs de vos comptes AWS peuvent utiliser les services AWS dans n'importe quelle région géographique dans laquelle ce service est disponible.

Puis-je modifier le compte AWS défini comme compte principal ?

Non, vous ne pouvez pas modifier le compte AWS principal. Par conséquent, vous devez choisir avec soin votre compte principal.

Comment ajouter un compte AWS à mon organisation ?

Utilisez l'une des deux méthodes suivantes pour ajouter un compte AWS à votre organisation :

Méthode 1 : inviter un compte existant à rejoindre votre organisation

  1. Connectez-vous en tant qu'administrateur du compte principal et accédez à la console AWS Organizations.
  2. Sélectionnez l'onglet Accounts.
  3. Choisissez Add account, puis Invite account.
  4. Indiquez l'adresse e-mail du compte que vous souhaitez inviter ou l'ID de compte AWS du compte.

Remarque : Vous pouvez inviter plusieurs comptes AWS en fournissant une liste d'adresses e-mail ou d'ID de comptes AWS séparés par des virgules.

Le compte AWS reçoit alors un e-mail l'invitant à rejoindre votre organisation. L'un des administrateurs du compte AWS que vous avez invité doit accepter ou refuser la demande à l'aide de la console AWS Organizations, de l'interface de ligne de commande AWS ou de l'API AWS Organizations. Si l'administrateur accepte votre invitation, ce compte devient visible dans la liste des comptes membres de votre organisation. Les stratégies en vigueur, comme les SCP, sont automatiquement appliquées dans le compte récemment ajouté. Par exemple, si une SCP est associée à la racine de votre organisation, elle sera directement appliquée dans les comptes récemment ajoutés.

Méthode 2 : créer un compte AWS dans votre organisation

  1. Connectez-vous en tant qu'administrateur du compte principal et accédez à la console AWS Organizations.
  2. Sélectionnez l'onglet Accounts.
  3. Choisissez Add account, puis Create account.
  4. Donnez un nom au compte et indiquez son adresse e-mail.
Vous pouvez également créer un compte à l'aide du kit SDK AWS ou de l'interface de ligne de commande AWS. Quelle que soit la méthode utilisée, une fois que vous avez ajouté le nouveau compte, vous pouvez le transférer vers une unité organisationnelle (UO). Le nouveau compte hérite automatiquement des politiques associées à l'UO.

Un compte AWS peut-il être membre de plusieurs organisations ?

Non. Un compte AWS peut uniquement être membre d'une seule organisation à la fois.

Comment puis-je accéder à un compte AWS créé dans mon organisation ?

Dans le cadre de la création de compte AWS, AWS Organizations crée un rôle IAM en attribuant des autorisations d'administration complètes au nouveau compte. Les utilisateurs IAM et les rôles IAM disposant des autorisations appropriées dans le compte principal peuvent assumer ce rôle IAM pour avoir accès au compte récemment créé.

Puis-je configurer l'authentification multi-facteurs (MFA) par programmation sur le compte AWS que je crée dans mon organisation ?

Non. Cette fonctionnalité n'est pas prise en charge pour le moment.

Puis-je transférer un compte AWS créé avec AWS Organizations vers une autre organisation ?

Oui. Cependant, vous devez d'abord supprimer le compte de votre organisation et en faire un compte autonome (voir ci-dessous). Après avoir rendu le compte autonome, il peut être invité à rejoindre une autre organisation.

Puis-je supprimer un compte AWS créé avec Organizations pour en faire un compte autonome ?

Oui. Lorsque vous créez un compte dans une organisation à l'aide de la console AWS Organizations, de l'API ou des commandes CLI, AWS ne collecte pas toutes les informations requises pour les comptes autonomes. Pour chaque compte que vous souhaitez rendre autonome, vous devez mettre à jour ces informations, notamment fournir des informations de contact, accepter le contrat client AWS, fournir un mode de paiement valide et choisir une option de plan de support. AWS utilise ce moyen de paiement pour débiter les frais de toutes les activités facturables (à l'exception de celles entrant dans le cadre de l'offre gratuite AWS) qui sont exécutées sur AWS tant que le compte n'est pas associé à une organisation. Pour plus d'informations, consultez Suppression d'un compte membre de votre organisation.

Combien de comptes AWS puis-je gérer dans mon organisation ?

Ce nombre peut varier. Si vous avez besoin de comptes supplémentaires, accédez au centre de support AWS et créez une demande de support pour demander une augmentation.

Comment supprimer un compte membre AWS d'une organisation ?

Vous pouvez supprimer un compte membre avec une des deux méthodes suivantes. Vous devrez peut-être saisir des informations supplémentaires pour supprimer un compte créé avec Organizations. En cas d'échec de la tentative de suppression de compte, accédez au centre de support AWS et demandez de l'aide pour la suppression du compte.

Méthode 1 : supprimer un compte membre invité en se connectant au compte principal

  1. Connectez-vous en tant qu'administrateur du compte principal et accédez à la console AWS Organizations.
  2. Dans le volet de gauche, choisissez Accounts.
  3. Choisissez le compte que vous souhaitez supprimer, puis sélectionnez Remove account.
  4. Si le compte n'est pas associé à un moyen de paiement valide, vous devez en configurer un.
 
Méthode 2 : supprimer un compte membre invité en se connectant au compte membre
 
  1. Connectez-vous en tant qu'administrateur du compte membre que vous souhaitez supprimer de l'organisation.
  2. Accédez à la console AWS Organizations.
  3. Choisissez Quitter l'organisation.
  4. Si le compte n'est pas associé à un moyen de paiement, vous devez en configurer un.

Comment créer une unité d'organisation (UO) ?

Pour créer une UO, suivez ces étapes :

  1. Connectez-vous en tant qu'administrateur du compte principal et accédez à la console AWS Organizations.
  2. Sélectionnez l'onglet Organize accounts.
  3. Parcourez la hiérarchie jusqu'au niveau où vous souhaitez créer l'UO. Vous pouvez la créer directement dans la racine ou au sein d'une autre UO.
  4. Choisissez Créer une unité d'organisation et donnez un nom à votre UO. Le nom doit être unique au sein de votre organisation.

Remarque : Vous pouvez renommer l'UO ultérieurement.

Vous pouvez désormais ajouter des comptes AWS à votre UO. Vous pouvez également utiliser l'interface de ligne de commande AWS et les API AWS pour créer et gérer une UO.

Comment ajouter un compte membre AWS à une UO ?

Suivez la procédure suivante pour ajouter des comptes membres à une UO :

  1. Dans la console AWS Organizations, choisissez l'onglet Organize accounts.
  2. Choisissez le compte AWS, puis sélectionnez Move account.
  3. Dans la boîte de dialogue, sélectionnez l'UO vers laquelle vous souhaitez transférer le compte AWS.

Vous pouvez également utiliser l'interface de ligne de commande AWS et les API AWS pour ajouter des comptes AWS à une UO.

Un compte AWS peut-il être membre de plusieurs UO ?

Non. Un compte AWS peut uniquement être membre d'une seule UO à la fois.

Une UO peut-elle être membre de plusieurs UO ?

Non. Une UO peut uniquement être membre d'une seule UO à la fois.

Combien de niveaux puis-je avoir dans ma hiérarchie d'UO ?

Vous pouvez configurer cinq niveaux d'imbrication pour vos UO. Votre hiérarchie peut être répartie sur cinq niveaux, en comptant la racine et les comptes AWS créés dans les UO les plus basses.

Gestion des contrôles

A quels niveaux de mon organisation puis-je appliquer une stratégie ?

Vous pouvez associer une politique à la racine de votre organisation (cela s'applique à tous les comptes de votre organisation), à des unités organisationnelles (UO) individuelles (cela s'applique à tous les comptes de l'UO, y compris les UO imbriquées) ou à des comptes individuels.

Comment puis-je associer une stratégie ?

Pour associer une politique, deux possibilités s'offrent à vous :

  • Dans la console AWS Organizations, sélectionnez l'emplacement auquel vous souhaitez associer la stratégie (la racine, une UO ou un compte), puis choisissez Attach Policy.
  • Dans la console AWS Organizations, accédez à l'onglet Stratégies et choisissez l'une des deux options suivantes :
    • Choisissez une stratégie existante, sélectionnez Attach Policy dans la liste déroulante Actions, puis définissez la racine, l'UO ou le compte auquel vous souhaitez associer la stratégie.
    • Sélectionnez Create Policy. Puis, dans le workflow de création de stratégie, sélectionnez la racine, l'UO ou le compte auquel vous souhaitez associer la nouvelle stratégie.

Pour plus d'informations, consultez Gestion des stratégies.

Les stratégies sont-elles héritées de liens hiérarchiques au sein de mon organisation ?

Oui. Par exemple, supposons que vous avez organisé vos comptes AWS dans des UO en fonction des étapes de développement de votre application : DEV, TEST et PROD. La politique P1 est associée à la racine de l'organisation, la politique P2 est associée à l'UO DEV et la politique P3 est associée au compte AWS A1 de l'UO DEV. Dans cette configuration, les politiques P1, P2 et P3 sont toutes associées au compte A1.

Pour en savoir plus, consultez A propos des stratégies de contrôle de service.

Quels sont les types de stratégies pris en charge par AWS Organizations ?

AWS Organizations prend actuellement en charge les politiques de contrôle de service (SCP). Vous pouvez utiliser les SCP pour définir et appliquer les actions que les utilisateurs, groupes et rôles IAM peuvent effectuer dans les comptes auxquels s'appliquent les SCP.

Qu'est-ce qu'une stratégie de contrôle de service (SCP) ?

Les politiques de contrôle de service (SCP) contrôlent les actions de service AWS accessibles aux mandataires (racine de compte, utilisateurs IAM et rôles IAM) dans les comptes de votre organisation. Une SCP doit être configurée, mais il ne s'agit pas du seul moyen de contrôle déterminant quels mandataires dans un compte peuvent utiliser des services pour autoriser d'autres mandataires à accéder à des ressources. L'autorisation effective du mandataire d'un compte auquel est associée une SCP est l'intersection entre ce qui est explicitement autorisé dans la SCP et ce qui est explicitement autorisé dans les autorisations associées au mandataire. Par exemple, si une SCP appliquée à un compte stipule que les seules actions autorisées sont les actions Amazon EC2 et que les autorisations d'un mandataire du même compte AWS autorisent les actions EC2 et Amazon S3, le mandataire peut uniquement accéder aux actions EC2.

Les mandataires d'un compte membre (y compris l'utilisateur racine du compte membre) ne peuvent ni supprimer ni modifier les SCP appliquées à ce compte.

A quoi ressemble une SCP ?

Les SCP suivent les mêmes règles et la même grammaire que les stratégies IAM. Pour plus d'informations sur la syntaxe SCP, consultez la section Syntaxe SCP. Pour des exemples de SCP, consultez Exemple de politiques de contrôle de service.


{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["EC2:*","S3:*"],
"Resource":"*"
}
]
}

Exemple de liste noire

La SCP suivante permet d'accéder à toutes les actions de service AWS, excepté l'action S3 PutObject. Tous les mandataires (racine de compte, utilisateur IAM et rôle IAM) qui se sont directement vu attribuer les autorisations appropriées dans un compte auquel s'applique cette SCP peuvent accéder à toutes les actions, sauf à l'action S3 PutObject.

{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action": "*:*",
"Resource":"*"
},
{
"Effect":"Deny",
"Action":"S3:PutObject",
"Resource":"*"
}
]
}

Si j'associe une SCP vide à un compte AWS, cela signifie-t-il que j'autorise toutes les actions de service AWS dans ce compte AWS ?

Non. Les SCP adoptent le même comportement que les stratégies IAM : une stratégie IAM vide équivaut à un REFUS par défaut. L'association d'une SCP vide à un compte équivaut à appliquer une politique qui refuse explicitement toute action.

Quelles autorisations effectives sont accordées si j'applique une SCP à mon organisation alors que mes mandataires disposent également de stratégies IAM ?

Les autorisations effectives accordées à un mandataire (compte racine, utilisateur IAM ou rôle IAM) dans un compte AWS associé à une SCP correspondent à l'intersection entre ce qui est explicitement autorisé dans la SCP et ce qui est explicitement autorisé dans les politiques d'autorisation IAM associées au mandataire. Par exemple, si un utilisateur IAM est associé aux politiques "Allow": "ec2:* " et "Allow": "sqs:* " et que la SCP associée au compte contient "Allow": "ec2:* " et "Allow": "s3:* ", l'autorisation accordée à l'utilisateur IAM est "Allow": "ec2:* ". Le mandataire ne peut pas exécuter d'actions Amazon SQS (la SCP l'interdit) ou S3 (la politique IAM ne le permet pas).

Puis-je simuler l'effet d'une SCP sur un compte AWS ?

Oui, le simulateur de politiques IAM peut intégrer les effets de SCP. Vous pouvez utiliser le simulateur de politiques dans un compte membre de votre organisation pour comprendre l'effet de la politique sur chaque mandataire du compte. Un administrateur dans un compte membre présentant les autorisations AWS Organizations appropriées peut déterminer si une SCP régit l'accès des mandataires (compte racine, utilisateur IAM et rôle IAM) dans votre compte membre.

Pour plus d'informations, consultez Stratégies de contrôle de service.

Puis-je créer et gérer une organisation sans appliquer de SCP ?

Oui. Vous décidez quelles politiques vous souhaitez appliquer. Par exemple, vous pouvez créer une organisation qui bénéficie uniquement de la fonctionnalité de facturation consolidée. Cela vous permet de disposer d'un compte payeur unique pour tous les comptes de votre organisation et de bénéficier automatiquement des avantages par défaut de la tarification progressive.

Facturation

Combien coûte AWS Organizations ?

AWS Organizations est fourni sans frais supplémentaires.

Qui paie les frais d'utilisation générés par les utilisateurs dans le cadre d'un compte membre AWS de mon organisation ?

Le propriétaire du compte principal est responsable du paiement de toutes les utilisations, données et ressources des comptes de l'organisation.

Ma facture tiendra-t-elle compte de la structure d'unité d'organisation que j'ai créée dans mon organisation ?

Non. Pour l'instant, votre facture ne tiendra pas compte de la structure que vous avez définie dans votre organisation. Vous pouvez utiliser les balises de répartition des coûts des comptes AWS individuels pour catégoriser et suivre vos coûts AWS. Cette répartition sera visible sur la facture consolidée de votre organisation.

Services AWS intégrés

Pourquoi devrais-je activer un service AWS intégré à AWS Organizations ?

Les services AWS ont été intégrés à AWS Organizations afin de fournir aux clients une gestion et une configuration centralisées pour tous les comptes de leur organisation. Cela vous permet de gérer les services de vos comptes à partir d'un emplacement unique, simplifiant ainsi le déploiement et les configurations.

Quels services AWS sont actuellement intégrés à AWS Organizations ?

Pour obtenir la liste complète des services AWS intégrés à AWS Organizations, consultez la page relative aux Services AWS que vous pouvez utiliser avec AWS Organizations.

Comment activer une intégration de service AWS ?

Pour commencer à utiliser un service AWS intégré à AWS Organizations, accédez à ce service et activez l'intégration.

En savoir plus sur AWS Organizations

Consulter la page des fonctionnalités
Prêt à concevoir ?
Démarrez avec AWS Organizations
D'autres questions ?
Contactez-nous