Questions d'ordre général

Qu'est-ce qu'AWS Organizations ?

AWS Organizations offre des capacités de gestion par politiques de plusieurs comptes AWS. Avec AWS Organizations, vous pouvez créer des groupes de comptes et y appliquer des politiques. AWS Organizations permet de gérer de façon centralisée des politiques portant sur plusieurs comptes, sans créer de scripts sur mesure et sans processus manuels.

Quelles actions administratives le service AWS Organizations permet-il d'effectuer ?

AWS Organizations permet d'effectuer les actions administratives suivantes :

  • créer un compte AWS et l'ajouter à son organisation, ou ajouter un compte AWS existant à son organisation ;
  • classer les comptes AWS en groupes appelés unités organisationnelles (UO) ;
  • organiser ses UO selon une hiérarchie qui reflète la structure de son entreprise ;
  • gérer de façon centralisée des politiques et les associer à l'ensemble de l'organisation, à des UO ou à des comptes AWS individuels.

Quels contrôles le service AWS Organizations permet-il d'appliquer dans cette version ?

Dans cette version, vous pouvez définir et appliquer les actions de service AWS, telles que Amazon EC2 RunInstances, qui peuvent être utilisées sur différents comptes AWS au sein d'une organisation.

Dois-je migrer de ma famille de facturation consolidée vers AWS Organizations ?

Non, AWS a automatiquement migré les familles de facturation consolidée vers AWS Organizations en ne laissant activées que les fonctions de facturation consolidée.

Comment bénéficier de ce service ?

Pour démarrer, vous devez tout d'abord déterminer lequel de vos comptes AWS deviendra le compte principal. Si une famille de facturation consolidée existe, le compte AWS payeur a déjà été converti en compte principal. Si vous n'avez pas de famille de facturation consolidée, vous pouvez sélectionner un compte AWS existant ou en créer un nouveau.

Procédure pour les clients utilisant la facturation consolidée

  1. Ouvrez la console Facturation consolidée. AWS vous redirige vers la nouvelle console AWS Organizations.
  2. Votre famille de facturation consolidée a été automatiquement convertie par AWS, et vous pouvez commencer immédiatement à profiter des nouvelles capacités organisationnelles.
 
Procédure pour les clients sans facturation consolidée
 
Vous devez créer une nouvelle organisation en suivant la procédure suivante :
 
  1. Connectez-vous en tant qu'administrateur dans AWS Management Console avec le compte AWS que vous souhaitez utiliser pour gérer votre organisation.
  2. Accédez à la console AWS Organizations.
  3. Sélectionnez Create Organization.
  4. Sélectionnez les fonctionnalités que vous souhaitez activer pour votre organisation. Vous avez le choix entre consolidated billing only features pour les fonctionnalités de facturation consolidée uniquement et all features pour toutes les fonctionnalités.
  5. Ajoutez des comptes AWS à votre organisation avec une des deux méthodes suivantes :
    1. Invitez les comptes AWS à rejoindre votre organisation en utilisant leur ID de compte AWS ou l'adresse e-mail associée.
    2. Créez de nouveaux comptes AWS.
  6. Modélisez votre hiérarchie organisationnelle en regroupant vos comptes AWS dans des UO.
  7. Si vous décidez d'activer toutes les fonctionnalités pour votre organisation, vous avez la possibilité de créer et d'attribuer des contrôles à ces UO.
 
Vous pouvez également utiliser la CLI AWS (pour un accès par ligne de commande) et les kits SDK (pour un accès programmatique) afin d'exécuter les mêmes étapes et de créer une nouvelle organisation.

Remarque : La création d'une nouvelle organisation peut être effectuée uniquement depuis un compte AWS ne faisant pas déjà partie d'une autre organisation.

Pour plus d'informations, consultez Mise en route avec AWS Organizations.

Concepts de base

Qu'est-ce qu'une organisation ?

Une organisation est un ensemble de comptes AWS que vous pouvez organiser hiérarchiquement et gérer de façon centralisée.

Qu'est-ce qu'un compte AWS ?

Un compte AWS est un conteneur pour vos ressources AWS. Vous créez et gérez vos ressources AWS dans un compte AWS et celui-ci vous offre des fonctions d'administration à des fins d'accès et de facturation.

Qu'est-ce qu'un compte principal ?

Un compte principal est le compte AWS que vous utilisez pour créer votre organisation. Depuis le compte principal, il est possible de créer d'autres comptes dans votre organisation, d'inviter d'autres comptes à rejoindre votre organisation, de gérer ces invitations et de supprimer des comptes de votre organisation. Vous pouvez également associer des politiques à différentes entités, notamment aux racines d'administration, aux unités organisationnelles (UO) et aux comptes au sein de votre organisation. Le compte principal joue le rôle de compte payeur et est tenu de régler tous les frais générés par les comptes de son organisation. Vous ne pouvez pas modifier le compte principal de votre organisation.

Qu'est-ce qu'un compte membre ?

Un compte membre est un compte AWS faisant partie d'une organisation sans en être le compte principal. Si vous êtes l'administrateur d'une organisation, vous pouvez créer des comptes membres au sein de l'organisation et inviter des comptes existants à rejoindre l'organisation. Vous pouvez également appliquer des politiques sur les comptes membres. Un compte membre ne peut appartenir qu'à une seule organisation à la fois.

Qu'est-ce qu'une racine d'administration ?

Une racine d'administration est le point de départ qui permet d'organiser vos comptes AWS. La racine d'administration est le conteneur le plus vaste dans votre hiérarchie organisationnelle. Cette racine permet de créer des UO pour regrouper vos comptes de façon logique et de classer ces UO dans une hiérarchie correspondant le mieux à vos besoins.

Qu'est-ce qu'une unité d'organisation (UO) ?

Une unité organisationnelle (UO) est un groupe de comptes AWS au sein d'une organisation. Une UO peut également contenir d'autres UO, afin de produire une hiérarchie. Par exemple, vous pouvez regrouper tous les comptes qui appartiennent au même service dans une UO de service. De même, vous pouvez regrouper tous les comptes exécutant des services de production dans une UO de production. Les UO sont utiles lorsque vous devez appliquer les mêmes contrôles à un sous-ensemble de comptes au sein de votre organisation. L'imbrication des UO permet d'obtenir des unités de gestion plus compactes. Par exemple, dans une UO de service, vous pouvez regrouper des comptes appartenant à des équipes individuelles dans des UO de niveau équipe. Ces UO héritent des politiques de l'UO parent en plus des contrôles attribués directement à l'UO de niveau équipe.

Qu'est-ce qu'une stratégie ?

Une politique est un « document » contenant une ou plusieurs instructions, qui définissent les contrôles appliqués à un groupe de comptes AWS. Dans cette version, AWS Organizations prend en charge un type spécifique de stratégie appelé stratégie de contrôle de service (SCP). Une SCP définit les actions de service AWS, comme Amazon EC2 RunInstances, qui peuvent être utilisées sur différents comptes au sein d'une organisation.

Organisation de comptes AWS

Puis-je définir et gérer mon organisation au niveau régional ?

Non. Toutes les entités de l'organisation sont accessibles au niveau mondial. Cela s'apparente au fonctionnement actuel d'AWS Identity and Access Management (IAM). Vous n'avez pas besoin de spécifier une région lorsque vous créez et gérez votre organisation. Les utilisateurs de vos comptes AWS peuvent utiliser les services AWS dans n'importe quelle région géographique dans laquelle ce service est disponible.

Puis-je modifier le compte AWS défini comme compte principal ?

Non, vous ne pouvez pas modifier le compte AWS principal. Par conséquent, vous devez choisir avec soin votre compte principal.

Comment ajouter un compte AWS à mon organisation ?

Utilisez l'une des deux méthodes suivantes pour ajouter un compte AWS à votre organisation :

Méthode 1 : inviter un compte existant à rejoindre votre organisation

  1. Connectez-vous en tant qu'administrateur du compte principal et accédez à la console AWS Organizations.
  2. Sélectionnez l'onglet Accounts.
  3. Choisissez Add account, puis Invite account.
  4. Indiquez l'adresse e-mail du compte que vous souhaitez inviter ou l'ID de compte AWS du compte.

Remarque : Vous pouvez inviter plusieurs comptes AWS en fournissant une liste d'adresses e-mail ou d'ID de comptes AWS séparés par des virgules.

Le compte AWS reçoit alors un e-mail l'invitant à rejoindre votre organisation. L'un des administrateurs du compte AWS que vous avez invité doit accepter ou refuser la demande à l'aide de la console AWS Organizations, de l'interface de ligne de commande AWS ou de l'API AWS Organizations. Si l'administrateur accepte votre invitation, ce compte devient visible dans la liste des comptes membres de votre organisation. Les stratégies en vigueur, comme les SCP, sont automatiquement appliquées dans le compte récemment ajouté. Par exemple, si une SCP est associée à la racine de votre organisation, elle sera directement appliquée dans les comptes récemment ajoutés.

Méthode 2 : créer un compte AWS dans votre organisation

  1. Connectez-vous en tant qu'administrateur du compte principal et accédez à la console AWS Organizations.
  2. Sélectionnez l'onglet Accounts.
  3. Choisissez Add account, puis Create account.
  4. Donnez un nom au compte et indiquez son adresse e-mail.
Vous pouvez également créer un compte à l'aide du kit SDK AWS ou de l'interface de ligne de commande AWS. Quelle que soit la méthode utilisée, une fois que vous avez ajouté le nouveau compte, vous pouvez le transférer vers une unité organisationnelle (UO). Le nouveau compte hérite automatiquement des politiques associées à l'UO.

Un compte AWS peut-il être membre de plusieurs organisations ?

Non. Un compte AWS peut uniquement être membre d'une seule organisation à la fois.

Comment puis-je accéder à un compte AWS créé dans mon organisation ?

Dans le cadre de la création de compte AWS, AWS Organizations crée un rôle IAM en attribuant des autorisations d'administration complètes au nouveau compte. Les utilisateurs IAM et les rôles IAM disposant des autorisations appropriées dans le compte principal peuvent assumer ce rôle IAM pour avoir accès au compte récemment créé.

Puis-je configurer l'authentification multi-facteurs (MFA) par programmation sur le compte AWS que je crée dans mon organisation ?

Non. Cette fonctionnalité n'est pas prise en charge pour le moment.

Puis-je transférer un compte AWS créé avec AWS Organizations vers une autre organisation ?

Oui. Cependant, vous devez d'abord supprimer le compte de votre organisation et en faire un compte autonome (voir ci-dessous). Après avoir rendu le compte autonome, il peut être invité à rejoindre une autre organisation.

Puis-je supprimer un compte AWS créé avec Organizations pour en faire un compte autonome ?

Oui. Lorsque vous créez un compte dans une organisation à l'aide de la console AWS Organizations, de l'API ou des commandes CLI, AWS ne collecte pas toutes les informations requises pour les comptes autonomes. Pour chaque compte que vous souhaitez rendre autonome, vous devez mettre à jour ces informations, notamment fournir des informations de contact, accepter le contrat client AWS, fournir un mode de paiement valide et choisir une option de plan de support. AWS utilise ce moyen de paiement pour débiter les frais de toutes les activités facturables (à l'exception de celles entrant dans le cadre de l'offre gratuite AWS) qui sont exécutées sur AWS tant que le compte n'est pas associé à une organisation. Pour plus d'informations, consultez Suppression d'un compte membre de votre organisation.

Combien de comptes AWS puis-je gérer dans mon organisation ?

Ce nombre peut varier. Si vous avez besoin de comptes supplémentaires, accédez au centre de support AWS et créez une demande de support pour demander une augmentation.

Comment supprimer un compte membre AWS d'une organisation ?

Vous pouvez supprimer un compte membre avec une des deux méthodes suivantes. Vous devrez peut-être saisir des informations supplémentaires pour supprimer un compte créé avec Organizations. En cas d'échec de la tentative de suppression de compte, accédez au centre de support AWS et demandez de l'aide pour la suppression du compte.

Méthode 1 : supprimer un compte membre invité en se connectant au compte principal

  1. Connectez-vous en tant qu'administrateur du compte principal et accédez à la console AWS Organizations.
  2. Dans le volet de gauche, choisissez Accounts.
  3. Choisissez le compte que vous souhaitez supprimer, puis sélectionnez Remove account.
  4. Si le compte n'est pas associé à un moyen de paiement valide, vous devez en configurer un.
 
Méthode 2 : supprimer un compte membre invité en se connectant au compte membre
 
  1. Connectez-vous en tant qu'administrateur du compte membre que vous souhaitez supprimer de l'organisation.
  2. Accédez à la console AWS Organizations.
  3. Choisissez Quitter l'organisation.
  4. Si le compte n'est pas associé à un moyen de paiement, vous devez en configurer un.

Comment créer une unité d'organisation (UO) ?

Pour créer une UO, suivez ces étapes :

  1. Connectez-vous en tant qu'administrateur du compte principal et accédez à la console AWS Organizations.
  2. Sélectionnez l'onglet Organize accounts.
  3. Parcourez la hiérarchie jusqu'au niveau où vous souhaitez créer l'UO. Vous pouvez la créer directement dans la racine ou au sein d'une autre UO.
  4. Choisissez Créer une unité d'organisation et donnez un nom à votre UO. Le nom doit être unique au sein de votre organisation.

Remarque : Vous pouvez renommer l'UO ultérieurement.

Vous pouvez désormais ajouter des comptes AWS à votre UO. Vous pouvez également utiliser l'interface de ligne de commande AWS et les API AWS pour créer et gérer une UO.

Comment ajouter un compte membre AWS à une UO ?

Suivez la procédure suivante pour ajouter des comptes membres à une UO :

  1. Dans la console AWS Organizations, choisissez l'onglet Organize accounts.
  2. Choisissez le compte AWS, puis sélectionnez Move account.
  3. Dans la boîte de dialogue, sélectionnez l'UO vers laquelle vous souhaitez transférer le compte AWS.

Vous pouvez également utiliser l'interface de ligne de commande AWS et les API AWS pour ajouter des comptes AWS à une UO.

Un compte AWS peut-il être membre de plusieurs UO ?

Non. Un compte AWS peut uniquement être membre d'une seule UO à la fois.

Une UO peut-elle être membre de plusieurs UO ?

Non. Une UO peut uniquement être membre d'une seule UO à la fois.

Combien de niveaux puis-je avoir dans ma hiérarchie d'UO ?

Vous pouvez configurer cinq niveaux d'imbrication pour vos UO. Votre hiérarchie peut être répartie sur cinq niveaux, en comptant la racine et les comptes AWS créés dans les UO les plus basses.

Gestion des contrôles

A quels niveaux de mon organisation puis-je appliquer une stratégie ?

Vous pouvez associer une politique à la racine de votre organisation (cela s'applique à tous les comptes de votre organisation), à des unités organisationnelles (UO) individuelles (cela s'applique à tous les comptes de l'UO, y compris les UO imbriquées) ou à des comptes individuels.

Comment puis-je associer une stratégie ?

Pour associer une politique, deux possibilités s'offrent à vous :

  • Dans la console AWS Organizations, sélectionnez l'emplacement auquel vous souhaitez associer la stratégie (la racine, une UO ou un compte), puis choisissez Attach Policy.
  • Dans la console AWS Organizations, accédez à l'onglet Stratégies et choisissez l'une des deux options suivantes :
    • Choisissez une stratégie existante, sélectionnez Attach Policy dans la liste déroulante Actions, puis définissez la racine, l'UO ou le compte auquel vous souhaitez associer la stratégie.
    • Sélectionnez Create Policy. Puis, dans le workflow de création de stratégie, sélectionnez la racine, l'UO ou le compte auquel vous souhaitez associer la nouvelle stratégie.

Pour plus d'informations, consultez Gestion des stratégies.

Les stratégies sont-elles héritées de liens hiérarchiques au sein de mon organisation ?

Oui. Par exemple, supposons que vous avez organisé vos comptes AWS dans des UO en fonction des étapes de développement de votre application : DEV, TEST et PROD. La politique P1 est associée à la racine de l'organisation, la politique P2 est associée à l'UO DEV et la politique P3 est associée au compte AWS A1 de l'UO DEV. Dans cette configuration, les politiques P1, P2 et P3 sont toutes associées au compte A1.

Pour en savoir plus, consultez A propos des stratégies de contrôle de service.

Quels sont les types de stratégies pris en charge par AWS Organizations ?

AWS Organizations prend actuellement en charge les politiques de contrôle de service (SCP). Vous pouvez utiliser les SCP pour définir et appliquer les actions que les utilisateurs, groupes et rôles IAM peuvent effectuer dans les comptes auxquels s'appliquent les SCP.

Qu'est-ce qu'une stratégie de contrôle de service (SCP) ?

Les politiques de contrôle de service (SCP) contrôlent les actions de service AWS accessibles aux mandataires (racine de compte, utilisateurs IAM et rôles IAM) dans les comptes de votre organisation. Une SCP doit être configurée, mais il ne s'agit pas du seul moyen de contrôle déterminant quels mandataires dans un compte peuvent utiliser des services pour autoriser d'autres mandataires à accéder à des ressources. L'autorisation effective du mandataire d'un compte auquel est associée une SCP est l'intersection entre ce qui est explicitement autorisé dans la SCP et ce qui est explicitement autorisé dans les autorisations associées au mandataire. Par exemple, si une SCP appliquée à un compte stipule que les seules actions autorisées sont les actions Amazon EC2 et que les autorisations d'un mandataire du même compte AWS autorisent les actions EC2 et Amazon S3, le mandataire peut uniquement accéder aux actions EC2.

Les mandataires d'un compte membre (y compris l'utilisateur racine du compte membre) ne peuvent ni supprimer ni modifier les SCP appliquées à ce compte.

A quoi ressemble une SCP ?

Les SCP suivent les mêmes règles et la même syntaxe que les politiques IAM, mais avec deux exceptions : il est impossible de spécifier des conditions, et la section des ressources doit être égale à « * ». Vous pouvez utiliser une SCS pour refuser ou autoriser l'accès aux actions de service AWS.

Exemple de liste blanche

La SCS suivante accorde l'accès à toutes les actions de service EC2 et S3 dans le compte AWS. Tous les mandataires (racine de compte, utilisateur IAM et rôle IAM) d'un compte auquel cette SCP s'applique ne peuvent pas accéder à d'autres actions, quelles que soient les politiques IAM qui leur sont directement attribuées. Ces politiques IAM doivent explicitement accorder l'accès aux actions des services EC2 et S3 pour que les mandataires puissent y accéder.

{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["EC2:*","S3:*"],
"Resource":"*"
}
]
}

Exemple de liste noire

La SCP suivante permet d'accéder à toutes les actions de service AWS, excepté l'action S3 PutObject. Tous les mandataires (racine de compte, utilisateur IAM et rôle IAM) qui se sont directement vu attribuer les autorisations appropriées dans un compte auquel s'applique cette SCP peuvent accéder à toutes les actions, sauf à l'action S3 PutObject.

{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action": "*:*",
"Resource":"*"
},
{
"Effect":"Deny",
"Action":"S3:PutObject",
"Resource":"*"
}
]
}

Si j'associe une SCP vide à un compte AWS, cela signifie-t-il que j'autorise toutes les actions de service AWS dans ce compte AWS ?

Non. Les SCP adoptent le même comportement que les stratégies IAM : une stratégie IAM vide équivaut à un REFUS par défaut. L'association d'une SCP vide à un compte équivaut à appliquer une politique qui refuse explicitement toute action.

Puis-je spécifier des ressources et des mandataires dans ma SCP ?

Non. Dans la version actuelle, vous pouvez uniquement spécifier des services AWS et des actions dans une SCP. Vous pouvez spécifier des ressources et des mandataires en utilisant des politiques d'autorisation IAM au sein du compte AWS. Pour en savoir plus, consultez Syntaxe d'une stratégie de contrôle de service.

Quelles autorisations effectives sont accordées si j'applique une SCP à mon organisation alors que mes mandataires disposent également de stratégies IAM ?

Les autorisations effectives accordées à un mandataire (compte racine, utilisateur IAM ou rôle IAM) dans un compte AWS associé à une SCP correspondent à l'intersection entre ce qui est explicitement autorisé dans la SCP et ce qui est explicitement autorisé dans les politiques d'autorisation IAM associées au mandataire. Par exemple, si un utilisateur IAM est associé aux politiques "Allow": "ec2:* " et "Allow": "sqs:* " et que la SCP associée au compte contient "Allow": "ec2:* " et "Allow": "s3:* ", l'autorisation accordée à l'utilisateur IAM est "Allow": "ec2:* ". Le mandataire ne peut pas exécuter d'actions Amazon SQS (la SCP l'interdit) ou S3 (la politique IAM ne le permet pas).

Puis-je simuler l'effet d'une SCP sur un compte AWS ?

Oui, le simulateur de politiques IAM peut intégrer les effets de SCP. Vous pouvez utiliser le simulateur de politiques dans un compte membre de votre organisation pour comprendre l'effet de la politique sur chaque mandataire du compte. Un administrateur dans un compte membre présentant les autorisations AWS Organizations appropriées peut déterminer si une SCP régit l'accès des mandataires (compte racine, utilisateur IAM et rôle IAM) dans votre compte membre.

Pour plus d'informations, consultez Stratégies de contrôle de service.

Puis-je créer et gérer une organisation sans appliquer de SCP ?

Oui. Vous décidez quelles politiques vous souhaitez appliquer. Par exemple, vous pouvez créer une organisation qui bénéficie uniquement de la fonctionnalité de facturation consolidée. Cela vous permet de disposer d'un compte payeur unique pour tous les comptes de votre organisation et de bénéficier automatiquement des avantages par défaut de la tarification progressive.

Facturation

Combien coûte AWS Organizations ?

AWS Organizations est fourni sans frais supplémentaires.

Qui paie les frais d'utilisation générés par les utilisateurs dans le cadre d'un compte membre AWS de mon organisation ?

Le propriétaire du compte principal est responsable du paiement de toutes les utilisations, données et ressources des comptes de l'organisation.

Quelle est la différence entre AWS Organizations et la facturation consolidée ?

Les fonctionnalités de la facturation consolidée font désormais partie d'AWS Organizations. AWS Organizations permet de consolider le paiement de plusieurs comptes AWS au sein de votre société en désignant un compte payeur unique. Pour plus d'informations, consultez Facturation consolidée et AWS Organizations.

Ma facture tiendra-t-elle compte de la structure d'unité d'organisation que j'ai créée dans mon organisation ?

Non. Pour l'instant, votre facture ne tiendra pas compte de la structure que vous avez définie dans votre organisation. Vous pouvez utiliser les balises de répartition des coûts des comptes AWS individuels pour catégoriser et suivre vos coûts AWS. Cette répartition sera visible sur la facture consolidée de votre organisation.

En savoir plus sur AWS Organizations

Consulter la page des fonctionnalités
Prêt à concevoir ?
Démarrez avec AWS Organizations
D'autres questions ?
Contactez-nous