Domande frequenti su AWS Organizations

AWS Control Tower, integrata in servizi AWS come AWS Organizations, è il modo più semplice per configurare e governare un ambiente AWS multi-account nuovo e sicuro. Stabilisce una landing zone, ovvero un ambiente multi-account well-architected basato sulle best practice, e permette la governance utilizzando guardrail a scelta. I guardrail sono policy di controllo dei servizi e delle risorse e regole AWS Config che implementano la governance per la sicurezza, la conformità e le operazioni.

AWS Control Tower offre un'esperienza astratta, automatizzata e prescrittiva in aggiunta ad AWS Organizations. Imposta automaticamente AWS Organizations come servizio AWS sottostante per organizzare gli account e implementare guardrail preventivi utilizzando SCP e RCP. Control Tower e Organizations funzionano perfettamente insieme. Puoi utilizzare Control Tower per impostare l'ambiente e i guardrail e poi, con AWS Organizations, puoi creare policy personalizzate (come i tag, il backup e le policy di controllo dei servizi) che controllino centralmente l'uso dei servizi e delle risorse AWS su più account AWS.

I guardrail sono policy di controllo dei servizi predefinite e regole di governance di AWS Config per la sicurezza, le operazioni e la conformità che i clienti possono selezionare e applicare a livello aziendale o per specifici gruppi di account. Un guardrail è espresso in inglese e rafforza una policy specifica di governance per l'ambiente AWS che può essere abilitato all'interno dell'unità organizzativa.

AWS Control Tower è utile per i clienti che vogliono creare e gestire degli ambienti AWS multi-account con best practice integrate. Offre una guida prescrittiva per gestire l'ambiente AWS su larga scala e permette di controllare tale ambiente senza sacrificare la velocità e l'agilità fornite da AWS agli utenti. AWS Control Tower è il prodotto che fa per te se stai creando un nuovo ambiente AWS o iniziando un percorso in AWS o un nuovo progetto nel cloud, se non conosci AWS o se hai già un ambiente multi-account in AWS.

Un'organizzazione è un insieme di account AWS che possono essere disposti in una gerarchia e gestiti in modo centralizzato.

Un account AWS è un contenitore per risorse AWS. Quando crei e gestisci risorse in un account AWS, questo fornisce le funzioni di amministrazione che consentono accesso e fatturazione.

L'utilizzo di più account AWS è una best practice per il dimensionamento dell'ambiente perché fornisce un limite di fatturazione naturale per i costi, isola le risorse per la sicurezza, offre flessibilità ai singoli e ai team ed è adattabile ai nuovi processi aziendali.

Un management account è l'account AWS usato per creare l'organizzazione. Tramite il management account, puoi creare altri account all'interno dell'organizzazione, inviare e gestire inviti agli altri account per farli entrare a far parte dell'organizzazione e rimuovere account dalla tua organizzazione. Puoi anche applicare policy a entità quali root di amministrazione, unità organizzative o account all'interno dell'organizzazione. Il management account è il proprietario principale dell'organizzazione e ha il controllo finale sulla sicurezza, l'infrastruttura e le policy finanziarie. Questo account ha inoltre il ruolo di account di pagamento ed è pertanto responsabile per il pagamento di tutti i costi accumulati dagli account dell'organizzazione. Non è possibile cambiare il management account designato di un'organizzazione.

Un account membro è un account AWS che fa parte dell'organizzazione, ma è diverso dal management account. Se sei un amministratore di un'organizzazione, puoi creare account membro al suo interno e invitarvi account esistenti. Puoi anche applicare policy agli account membri. Un account membro può far parte di una sola organizzazione alla volta.

Un root di amministrazione si trova all'interno di un management account ed è la base da cui vengono organizzati gli account AWS. Il livello root di amministrazione è il contenitore più elevato nella gerarchia di un'organizzazione. Sotto il root è possibile creare unità organizzative che raggruppino account secondo logiche specifiche, organizzando tali unità in gerarchie secondo le esigenze aziendali.

Un'unità organizzativa è un gruppo di account AWS all'interno di un'organizzazione. Un'unità organizzativa può contenere a sua volta altre unità organizzative secondo una specifica gerarchia. Ad esempio, puoi raggruppare tutti gli account che appartengono allo stesso reparto aziendale o alla stessa unità organizzativa di reparto. Analogamente, puoi raggruppare tutti gli account che eseguono servizi di sicurezza in un'unità organizzativa di sicurezza. Le unità organizzative sono utili quando è necessario applicare gli stessi controlli a un sottoinsieme di account. Le unità organizzative annidate consentono un ulteriore livello di gestione. Ad esempio, puoi creare unità organizzative per ogni carico di lavoro e poi creare due unità organizzative annidate in ogni unità organizzativa del carico di lavoro per dividere i carichi relativi alla produzione già dalla fase precedente alla produzione. Queste unità potranno beneficiare di policy specifiche ed erediteranno quelle dall'unità superiore.

Le policy in AWS Organizations consentono di applicare in modo centralizzato dei controlli a livello di organizzazione per gli account AWS dell'organizzazione. 

• Le policy di controllo del servizio (SCP) offrono il controllo centralizzato sul numero massimo di autorizzazioni disponibili per gli utenti e i ruoli IAM in un'organizzazione. 
• Le policy di controllo delle risorse (RCP) offrono il controllo centralizzato sul numero massimo di autorizzazioni disponibili per le risorse in un'organizzazione. 
• Le policy di backup consentono di gestire e applicare centralmente i piani di backup alle risorse AWS negli account di un'organizzazione.
• La policy dichiarativa è una policy di gestione che ti aiuta ad applicare intenti duraturi come la configurazione di base di un determinato servizio AWS nella tua organizzazione con pochi semplici clic o comandi. Una volta applicate, queste policy prevengono azioni non conformi. La configurazione definita nella policy dichiarativa viene mantenuta quando AWS introduce nuove API e funzionalità o se vengono apportate modifiche all'organizzazione, ad esempio vengono aggiunte risorse, principali e account.
• Le policy di tag consentono di standardizzare i tag collegati alle risorse AWS negli account di un'organizzazione.
• Le policy dei chatbot consentono di controllare l'accesso agli account di un'organizzazione da applicazioni di chat come Slack e Microsoft Teams.
• Le policy di rifiuto esplicito dei servizi di IA consentono di controllare la raccolta dei dati per i servizi di IA di AWS per tutti gli account di un'organizzazione.

Tutte le entità di un'organizzazione sono accessibili a livello globale, eccetto le organizzazioni gestite in Cina, come succede per AWS Identity and Access Management (IAM). Non c'è bisogno di specificare una regione AWS durante la creazione e la gestione dell'organizzazione, ma bisogna creare un'organizzazione separata per gli account utilizzati in Cina. Gli utenti negli account AWS ne utilizzeranno i servizi in qualsiasi regione geografica siano disponibili.

No. Non è possibile cambiare il management account di AWS dopo che è stato designato. Pertanto, è molto importante scegliere oculatamente il management account.

Sono disponibili due metodi per aggiungere un account AWS a un'organizzazione:

Metodo 1: invitare un account esistente a entrare a far parte dell'organizzazione

1. Registrati come amministratore del management account e apri la console di AWS Organizations.

2. Seleziona la scheda Accounts.

3. Seleziona Add account, quindi Invite account.

4. Digita l'indirizzo e-mail oppure l'ID account dell'account che desideri invitare.

Nota: puoi invitare più di un account AWS alla volta digitando un elenco di indirizzi e-mail o ID account AWS separati da virgole.

L'account AWS specificato riceverà un'e-mail di invito all'organizzazione. La richiesta dovrà essere accettata o rifiutata da un amministratore dell'account AWS invitato, tramite console di AWS Organizations, interfaccia a riga di comando di AWS o API di Organizations. Se l'amministratore accetta l'invito, l'account diventa visibile nell'elenco di account membri dell'organizzazione. Al nuovo account saranno applicate automaticamente tutte le policy collegate, ad esempio le policy di controllo dei servizi. Se un'organizzazione dispone di policy di controllo di servizi collegate a livello root, verranno automaticamente applicate a tutti i nuovi account.

Metodo 2: creare un account AWS nell'organizzazione

1. Registrati come amministratore del management account e apri la console di AWS Organizations.

2. Seleziona la scheda Accounts.

3. Seleziona Add account, quindi Create account.

4. Digita nome e indirizzo e-mail del nuovo account.

Per creare un account, puoi anche usare il kit SDK AWS o l'interfaccia a riga di comando. In entrambi i casi, dopo aver creato il nuovo account potrai trasferirlo all'interno di un'unità organizzativa. Il nuovo account erediterà automaticamente le policy della relativa unità.

No. Un account AWS può far parte di una sola organizzazione alla volta.

Durante la creazione dell'account, AWS Organizations creerà un ruolo IAM con autorizzazioni di amministratore complete nel nuovo account. Gli utenti e i ruoli IAM con le autorizzazioni appropriate nell'account master potranno assumere il ruolo IAM necessario per ottenere l'accesso all'account appena creato.

No. Questa caratteristica non è al momento supportata.

Sì. Tuttavia, è necessario prima rimuovere l'account dall'organizzazione e renderlo un account indipendente (vedi di seguito). A seguito di questa operazione, l'account può essere invitato ad unirsi a un'altra organizzazione.

Sì. Quando crei un account in un'organizzazione utilizzando la console AWS Organizations, API o comandi CLI, AWS non raccoglie tutte le informazioni necessarie degli account indipendenti. Per ciascun account che desideri rendere autonomo, è necessario aggiornare queste informazioni, che possono includere: specifica delle informazioni di contatto, inserimento di un metodo di pagamento valido e scelta di un'opzione di piano di supporto. AWS impiegherà il metodo di pagamento fornito per addebitare tutti i costi delle attività AWS non incluse nel piano gratuito fatturati mentre l'account non è collegato ad alcuna organizzazione. Per ulteriori informazioni, consulta Rimozione di un account membro dall'organizzazione.

Un numero variabile. Se occorrono più account, accedi al Centro di Supporto AWS e apri un caso di supporto per richiedere l'aumento del limite.

È possibile rimuovere un account membro in due modi. Per completare l'operazione su un account creato con Organizations, potrebbe essere necessario fornire informazioni aggiuntive. Se il tentativo di rimuovere un account non va a buon fine, accedi al Centro di Supporto AWS e chiedi assistenza.

Metodo 1: rimuovere un account membro aggiunto tramite invito accedendo al management account

1. Registrati come amministratore dell'account master e apri la console di AWS Organizations.

2. Nel riquadro a sinistra, seleziona Account.

3. Scegli l'account che desideri rimuovere, quindi seleziona Rimuovi account.

4. Se l'account non ha alcun metodo di pagamento valido, è necessario fornirne uno.

Metodo 2: rimuovere un account membro aggiunto tramite invito accedendo all'account membro

1. Accedi come amministratore di un account membro che desideri rimuovere dall'organizzazione.

2. Vai alla console di AWS Organizations.

3. Seleziona *Lascia l'organizzazione*.

4. Se l'account non ha alcun metodo di pagamento, è necessario fornirne uno.

Per creare un'unità organizzativa, segui la procedura indicata di seguito:

1. Registrati come amministratore del management account e apri la console di AWS Organizations.

2. Seleziona la scheda Organizza account.

3. Apri la gerarchia nel punto in cui desideri creare l'unità organizzativa. È possibile crearla direttamente a livello root oppure all'interno di un'altra unità.

4. Seleziona Crea unità organizzativa e digita un nome per l'unità. Il nome deve essere univoco all'interno dell'organizzazione.

Nota: l'unità organizzativa può essere rinominata in un secondo momento.

È quindi possibile aggiungere account AWS all'unità. Per creare e gestire unità organizzative puoi anche utilizzare l'interfaccia a riga di comando e le API di AWS.

Segui queste istruzioni per aggiungere account membri a un'unità organizzativa:

1. Nella console di AWS Organizations, seleziona la scheda Organize accounts.

2. Seleziona l'account AWS, quindi Move account.

3. Nella casella di dialogo, seleziona l'unità organizzativa a cui desideri aggiungere l'account AWS.

In alternativa, per aggiungere account a un'unità organizzativa puoi usare l'interfaccia a riga di comando e le API di AWS.

No. Un account AWS può far parte di una sola unità organizzativa alla volta.

No. Un'unità organizzativa può far parte di una sola unità organizzativa alla volta.

Possono essere presenti fino a cinque livelli di unità organizzative. Tale conteggio include il livello root e gli account AWS nel livello più basso.

Puoi collegare policy a livello root dell'organizzazione per applicarle a tutti gli account al suo interno, a singole unità organizzative per applicarle a tutti gli account all'interno dell'unità, incluse quelle annidate, oppure a singoli account.

Sono disponibili due modi per collegare una policy:

• Nella console di AWS Organizations, individua il livello a cui desideri applicare la policy (a livello root, di unità organizzativa o di account) e seleziona Collega policy.
• Nella console di Organizations, seleziona la scheda Policy, quindi esegui una delle seguenti azioni:
  Scegli una policy esistente, quindi seleziona Collega policy dal menu a discesa Operazioni e seleziona a quale livello desideri applicare la policy (root, unità organizzativa o account).
• Scegli Crea policy, quindi, durante il flusso di lavoro per la creazione della policy, scegli un livello (root, unità organizzativa o account) a cui applicare la nuova policy.

Per ulteriori informazioni, consulta Gestione delle policy.

Attualmente, AWS Organizations supporta le seguenti policy:

• Le policy di controllo del servizio (SCP) offrono il controllo centralizzato sul numero massimo di autorizzazioni disponibili per gli utenti e i ruoli IAM in un'organizzazione. 
• Le policy di controllo delle risorse (RCP) offrono il controllo centralizzato sul numero massimo di autorizzazioni disponibili per le risorse in un'organizzazione.
• La policy dichiarativa è una policy di gestione che ti aiuta ad applicare intenti duraturi come la configurazione di base di un determinato servizio AWS nella tua organizzazione con pochi semplici clic o comandi. Una volta applicate, queste policy prevengono azioni non conformi. La configurazione definita nella policy dichiarativa viene mantenuta quando AWS introduce nuove API e funzionalità o se vengono apportate modifiche all'organizzazione, ad esempio vengono aggiunte risorse, principali e account.
• Le policy di backup consentono di gestire e applicare centralmente i piani di backup alle risorse AWS negli account di un'organizzazione.
• Le policy di tag consentono di standardizzare i tag collegati alle risorse AWS negli account di un'organizzazione.
• Le policy dei chatbot consentono di controllare l'accesso agli account di un'organizzazione da applicazioni di chat come Slack e Microsoft Teams.
• Le policy di rifiuto esplicito dei servizi di IA consentono di controllare la raccolta dei dati per i servizi di IA di AWS per tutti gli account di un'organizzazione.

Sì. Ad esempio, supponiamo di aver disposto gli account AWS in unità organizzative secondo le fasi di sviluppo di un'applicazione: DEV, TEST e PROD. La policy P1 è collegata all'organizzazione, la policy P2 all'unità organizzativa DEV e la policy P3 all'account AWS A1 nella unità DEV. Secondo questa configurazione, P1+P2+P3 vengono tutte applicate all'account A1.
Per ulteriori informazioni, consulta informazioni sulle policy di controllo dei servizi.

Le policy di controllo dei servizi permettono di controllare quali operazioni di servizi AWS sono consentite alle entità (account root, utenti IAM e ruoli IAM) negli account dell'organizzazione. La policy di controllo di servizi è necessario, ma non è l'unico fattore che determina quali entità in un account possono autorizzare l'accesso da parte di altre entità alle risorse. L'autorizzazione effettiva per un'entità collegata a una policy di controllo dei servizi viene garantita solo se i comandi esplicitamente consentiti dalla policy coincidono con i comandi esplicitamente consentiti dalle autorizzazioni collegate all'entità. Ad esempio, se una policy di controllo dei servizi applicata a un account stabilisce che gli unici comandi consentiti sono quelli di Amazon EC2, e le autorizzazioni collegate a un'entità nello stesso account AWS permettono comandi di EC2 e di Amazon S3, l'entità potrà accedere solo ai comandi di EC2.
Le entità in un account membro (incluso il relativo utente root) non potranno rimuovere o modificare le policy applicate a tale account.  

Le policy di controllo dei servizi seguono le stesse regole e la stessa grammatica delle policy IAM. Per informazioni sulla sintassi delle policy di controllo dei servizi, consulta Sintassi delle SCP. Per vedere alcuni esempi di SCP, consulta la documentazione qui.

No. Le policy di controllo dei servizi si comportano esattamente come le policy di IAM: una policy vuota equivale a un rifiuto per default. Collegare una policy di controllo di servizi a un account è l'equivalente di collegare una policy che nega esplicitamente l'accesso a tutti i comandi.

Le autorizzazioni effettive concesse a un'entità (account root, utenti IAM e ruoli IAM) in un account AWS a cui è applicata una policy di controllo dei servizi sono definite come l'intersezione tra le autorizzazioni fornite dalla policy di controllo dei servizi e quelle fornite all'entità dalle policy di IAM. Se ad esempio un utente di IAM ha "Allow": "ec2:* " e "Allow": "sqs:* ", e la policy di controllo di servizi collegata ha "Allow": "ec2:* " e "Allow": "s3:* ", le autorizzazioni risultanti sono "Allow": "ec2:* ". L'entità non potrà eseguire alcuna operazione con Amazon SQS (non consentito dalla policy di controllo) o S3 (non consentito dalle policy di IAM).

Sì, il simulatore di policy di IAM include gli effetti di policy di controllo dei servizi. Se lo utilizzi con un account membro nell'organizzazione, permette di vedere gli effetti su entità singole nell'account. Un amministratore in un account membro con le necessarie autorizzazioni di AWS Organizations potrà verificare in che modo una policy di controllo di servizi incida sugli accessi per le entità (account root, utente IAM e ruolo IAM) in un account membro
Per ulteriori informazioni, consulta Policy di controllo dei servizi.

Sì. La decisione su quali policy applicare spetta a te. Ad esempio puoi creare un'organizzazione con il solo scopo di usufruire della funzionalità di fatturazione consolidata. In questo modo avrai a disposizione un account di pagamento unico per tutti gli account nell'organizzazione e riceverai automaticamente i vantaggi dello scaglione tariffario di default.

Una policy di controllo delle risorse (RCP) è una policy di AWS Organizations che può essere utilizzata per definire e applicare controlli preventivi sulle risorse AWS dell'organizzazione. Tramite le RCP è possibile definire centralmente le autorizzazioni massime disponibili per le risorse AWS mentre si scalano i carichi di lavoro su AWS. Ad esempio, una RCP può limitare l'accesso alle risorse affinché solo le identità appartenenti all'organizzazione possano accedervi oppure specificare le condizioni alle quali le identità esterne all'organizzazione possono accedere alle risorse.

La policy dichiarativa è una policy di gestione che ti aiuta ad applicare intenti duraturi come la configurazione di base di un determinato servizio AWS nella tua organizzazione con pochi semplici clic o comandi. Una volta applicate, queste policy prevengono azioni non conformi. La configurazione definita nella policy dichiarativa viene mantenuta quando AWS introduce nuove API e funzionalità o se vengono apportate modifiche all'organizzazione, ad esempio vengono aggiunte risorse, principali e account.

Le policy di controllo del servizio (SCP) offrono il controllo centralizzato sul numero massimo di autorizzazioni disponibili per gli utenti e i ruoli IAM in un'organizzazione. Le policy dichiarative forniscono un modo più semplice di definire la configurazione e forniscono agli utenti finali visibilità sul motivo per cui le loro azioni non sono riuscite grazie a messaggi di errore personalizzabili. Con le policy dichiarative, non è necessario aggiornare i tuoi SCP con nuove API per proteggere il tuo obiettivo di configurazione. Una volta impostata, una policy dichiarativa manterrà la configurazione. Se disponi di SCP esistenti per un controllo supportato da policy dichiarative, aggiungerli a una policy dichiarativa creerà un ulteriore livello di protezione per applicare la configurazione desiderata. Puoi continuare a sfruttare le regole di rilevamento di AWS Config per monitorare continuamente le modifiche nel loro ambiente e le regole proattive di AWS Config per impedire la creazione di risorse non conformi tramite CloudFormation.

Per vedere alcuni esempi di RCP, consulta le pagine relative alla documentazione. Tra gli esempi generali di RCP troviamo:

• Protezione dai problemi di confused deputy
• Consenti solo connessioni HTTPS alle tue risorse
• Controlli coerenti delle policy relative ai bucket Amazon S3

AWS Organizations è disponibile senza costi aggiuntivi.

La responsabilità economica per l'utilizzo, i dati e le risorse degli account nell'organizzazione appartiene al proprietario del management account.

No. Per ora la struttura definita in un'organizzazione non si rifletterà nella fattura. Per suddividere in categorie e monitorare i costi di AWS è possibile assegnare ai singoli account AWS tag di allocazione dei costi, che saranno visibili nelle fatture consolidate.

I servizi AWS sono stati integrati con AWS Organizations per fornire ai clienti una gestione e una configurazione centralizzata tra gli account della loro organizzazione. Questo consente di gestire i servizi di tutti gli account da un'unica postazione, semplificando l'implementazione e le configurazioni.

Per un elenco dei servizi AWS integrati con AWS Organizations, consulta Servizi AWS che puoi utilizzare con AWS Organizations.

Per iniziare a utilizzare un servizio AWS integrato con AWS Organizations, accedi a tale servizio nella console di gestione AWS e abilita l'integrazione.