Inizia a usare AWS Organizations

Prova AWS Organizations

AWS Organizations è disponibile per tutti i clienti AWS senza costi aggiuntivi.

D: Cos'è AWS Organizations?

AWS Organizations offre gestione basata su policy per più account AWS. Con Organizations, potrai creare gruppi di account e applicarvi policy specifiche. Questo servizio permette di gestire in maniera centralizzata le policy su più account senza dover creare script personalizzati o intervenire manualmente.

D: Quali operazioni di amministrazione è possibile effettuare con AWS Organizations?

AWS Organizations permette di effettuare le seguenti operazioni di amministrazione:

  • Creare un account AWS e aggiungerlo alla struttura aziendale, oppure aggiungere un account AWS già esistente.
  • Organizzare gli account AWS in gruppi, denominati unità organizzative.
  • Organizzare le unità in gerarchie che rispecchino la struttura aziendale.
  • Gestire e applicare in modo centralizzato le policy a tutta la struttura, alle unità organizzative o a singoli account AWS.

D: Quali controlli permette AWS Organizations in questa release?

Nell'anteprima, è possibile definire e applicare i comandi di servizi AWS, ad esempio RunInstances di Amazon EC2, che possono essere utilizzati in account AWS differenti all'interno dell'organizzazione.

D: È necessario eseguire la migrazione della fatturazione consolidata in AWS Organizations?

No, AWS ha già provveduto automaticamente alla migrazione delle famiglie di fatturazione consolidata in AWS Organizations al momento dell'abilitazione delle relative caratteristiche.

D: Come si inizia a usarlo?

Per iniziare, è necessario innanzitutto decidere quale account AWS diventerà l'account master. Se disponi di una famiglia di fatturazione consolidata, AWS ha già convertito il relativo account di pagamento in account master. In caso contrario, puoi creare un nuovo account AWS o selezionarne uno esistente.

Istruzioni per i clienti che usano la fatturazione consolidata

  1. Apri la console di fatturazione consolidata. AWS ti reindirizzerà alla nuova console di AWS Organizations.
  2. AWS ha già convertito le famiglie di fatturazione consolidata automaticamente, perciò le nuove funzionalità sono già disponibili.
Istruzioni per i clienti che non usano la fatturazione consolidata
 
È necessario creare una nuova organizzazione seguendo queste istruzioni:
 
  1. Registrati come amministratore alla Console di gestione AWS utilizzando l'account AWS che desideri utilizzare per gestire l'organizzazione.
  2. Vai alla console di AWS Organizations.
  3. Seleziona Create Organization.
  4. Seleziona quali caratteristiche desideri abilitare per la tua organizzazione. Puoi abilitare solo le caratteristiche di fatturazione consolidata oppure tutte le caratteristiche.
  5. Aggiungi gli account AWS all'organizzazione in uno dei due seguenti modi:
    1. Invita un account esistente ad entrare a far parte dell'organizzazione utilizzando il proprio account ID o indirizzo e-mail associato.
    2. Crea un nuovo account AWS.
  6. Ordina la gerarchia dell'organizzazione raggruppando account AWS in unità organizzative.
  7. Se scegli di abilitare tutte le caratteristiche, puoi creare e assegnare controlli a tali unità.

Potrai inoltre utilizzare l'interfaccia a riga di comando o i kit SDK (per accesso programmatico) per seguire gli stessi passaggi e creare una nuova organizzazione.

Nota: la creazione di una nuova organizzazione può essere avviata solo da un account AWS che non sia già membro di un'altra organizzazione.
 
Per ulteriori informazioni, consulta Getting started with AWS Organizations.

D: Cos'è un'organizzazione?

Un'organizzazione è un insieme di account AWS che possono essere disposti in una gerarchia e gestiti in modo centralizzato.

D: Cos'è un account AWS?

Un account AWS è un contenitore per risorse AWS. Quando crei e gestisci risorse in un account AWS, questo fornisce le funzioni di amministrazione che consentono accesso e fatturazione.

D: Cos'è un account master?

Un account master è un account AWS usato per creare l'organizzazione. Tramite l'account master, puoi creare altri account all'interno dell'organizzazione, inviare e gestire inviti per entrare a farne parte e rimuovere account. Puoi anche applicare policy a entità quali root di amministrazione, unità organizzative o account all'interno dell'organizzazione. L'account master ha inoltre il ruolo di account di pagamento ed è pertanto responsabile per il pagamento di tutti i costi accumulati dagli account dell'organizzazione. Non è possibile modificare il titolare del ruolo di account master.

D: Cos'è un account membro?

Un account membro è un account AWS che fa parte di un'organizzazione, escluso l'account master. Se sei un amministratore di un'organizzazione, puoi creare account membro al suo interno e invitarvi account esistenti. Puoi anche applicare policy agli account membri. Un account membro può far parte di una sola organizzazione alla volta.

D: Cos'è un root di amministrazione?

Un root di amministrazione è la base da cui vengono organizzati gli account AWS. Il livello root di amministrazione è il contenitore più elevato nella gerarchia di un'organizzazione. Sotto il root è possibile creare unità organizzative che raggruppino account secondo logiche specifiche, organizzando tali unità in gerarchie secondo le esigenze aziendali.

D: Cos'è un'unità organizzativa?

Un'unità organizzativa è un gruppo di account AWS all'interno di un'organizzazione. Un'unità organizzativa può contenere a sua volta altre unità organizzative secondo una specifica gerarchia. Ad esempio, puoi raggruppare tutti gli account che appartengono allo stesso reparto aziendale o alla stessa unità organizzativa di reparto. Analogamente, puoi raggruppare tutti gli account che utilizzano servizi di produzione in un'unità organizzativa di produzione. Le unità organizzative sono utili quando è necessario applicare gli stessi controlli a un sottoinsieme di account. Le unità organizzative annidate consentono un ulteriore livello di gestione. Ad esempio, in un'unità organizzativa di un reparto aziendale, è possibile raggruppare gli account che appartengono ai singoli team. Queste unità potranno beneficiare di policy specifiche ed erediteranno quelle dall'unità superiore.

D: Cos'è una policy?

Una policy è un "documento" con una o più istruzioni che definiscono i controlli da applicare a un gruppo di account AWS. Nella presente release, AWS Organizations supporta un solo tipo di policy, denominata policy di controllo di servizi o SCP (Service Control Policy). Una policy di controllo di servizi definisce i comandi dei servizi AWS disponibili nei diversi account di un'organizzazione, ad esempio il metodo RunInstances di Amazon EC2.


D: È possibile definire e gestire un'organizzazione a livello regionale?

No. Tutte le entità di un'organizzazione sono accessibili a livello globale; il suo funzionamento è simile a quello di AWS Identity and Access Management (IAM). Non è necessario specificare una regione in cui creare o gestire l'organizzazione. Gli utenti negli account AWS ne utilizzeranno i servizi in qualsiasi regione geografica siano disponibili.

D: È possibile modificare l'account AWS che rappresenta l'account master?

No. Non è possibile modificare la configurazione dell'account master. Pertanto è molto importante scegliere oculatamente l'account master.

D: In che modo si aggiunge un account AWS a un'organizzazione?

Sono disponibili due metodi per aggiungere un account AWS a un'organizzazione:

Metodo 1: invitare un account esistente ad entrare a far parte dell'organizzazione

  1. Registrati come amministratore dell'account master e apri la console di AWS Organizations.
  2. Seleziona la scheda Accounts.
  3. Seleziona Add account, quindi Invite account.
  4. Digita l'indirizzo e-mail oppure l'ID account dell'account che desideri invitare.

Nota: puoi invitare più di un account alla volta digitando un elenco di indirizzi e-mail o ID account separati da virgole.

L'account AWS specificato riceverà un'e-mail di invito all'organizzazione. La richiesta dovrà essere accettata o rifiutata da un amministratore dell'account AWS invitato, tramite console di AWS Organizations, interfaccia a riga di comando di AWS o API di Organizations. Se l'amministratore accetta l'invito, l'account diventa visibile nell'elenco di account membri dell'organizzazione. Al nuovo account saranno applicate automaticamente tutte le policy collegate, ad esempio le policy di controllo di servizi. Se un'organizzazione dispone di policy di controllo di servizi collegate a livello root, verranno automaticamente applicate a tutti i nuovi account.

Metodo 2: creare un account AWS nell'organizzazione

  1. Registrati come amministratore dell'account master e apri la console di AWS Organizations.
  2. Seleziona la scheda Accounts.
  3. Seleziona Add account, quindi Create account.
  4. Digita nome e indirizzo e-mail del nuovo account.

Per creare un account, puoi anche usare il kit SDK AWS o l'interfaccia a riga di comando. In entrambi i casi, dopo aver creato il nuovo account potrai trasferirlo all'interno di un'unità organizzativa. Il nuovo account erediterà automaticamente le policy della relativa unità.

D: Un account AWS può essere membro di più di un'organizzazione?

No. Un account può far parte di una sola organizzazione alla volta.

D: In che modo è possibile accedere a un account AWS creato in un'organizzazione?

Durante la creazione dell'account, AWS Organizations creerà un ruolo IAM con autorizzazioni di amministratore complete nel nuovo account. Gli utenti e i ruoli IAM con le autorizzazioni appropriate nell'account master potranno assumere il ruolo IAM necessario per ottenere l'accesso all'account appena creato.

D: È possibile impostare programmaticamente l'autenticazione a più fattori su un account AWS creato in un'organizzazione?

No. Questa caratteristica non è al momento supportata.

D: È possibile spostare un account AWS creato con AWS Organizations in un'organizzazione differente?

No. Questa caratteristica non è al momento supportata.

D: È possibile rimuovere un account AWS creato utilizzando Organizations e trasformarlo in un account autonomo?

Sì. Tuttavia, quando crei un account in un'organizzazione utilizzando la console, l'API o l'interfaccia a riga di comando di AWS Organizations, non vengono automaticamente raccolte tutte le informazioni richieste per gli account autonomi. Per ogni account che desideri rendere autonomo, devi prima accettare il Contratto con il cliente AWS, selezionare un piano di supporto, fornire e verificare le informazioni di contatto e fornire un metodo di pagamento valido. AWS impiegherà il metodo di pagamento fornito per addebitare tutti i costi delle attività AWS non incluse nel piano gratuito fatturati mentre l'account non è collegato ad alcuna organizzazione. Per ulteriori informazioni, consulta la sezione To leave an organization when all required account information has not yet been provided (console) della User Guide.

D: Quanti account AWS è possibile gestire in un'organizzazione?

Un numero variabile. Se occorrono più account, accedi al Centro di supporto di AWS e apri un caso di supporto per richiedere l'aumento del limite.

D: In che modo è possibile rimuovere un account membro di AWS da un'organizzazione?

È possibile rimuovere un account membro in due modi. Per completare l'operazione su un account creato con Organizations, potrebbe essere necessario fornire informazioni aggiuntive. Se il tentativo di rimuovere un account non va a buon fine, accedi al Centro di supporto di AWS e chiedi assistenza.

Metodo 1: rimuovere un account membro aggiunto tramite invito accedendo all'account master

  1. Registrati come amministratore dell'account master e apri la console di AWS Organizations.
  2. Nel riquadro a sinistra, seleziona Accounts.
  3. Seleziona l'account che desideri rimuovere, quindi seleziona Remove Account.
  4. Se l'account non ha alcun metodo di pagamento valido, è necessario fornirne uno.

Metodo 2: rimuovere un account membro aggiunto tramite invito accedendo all'account membro

  1. Accedi come amministratore di un account membro che desideri rimuovere dall'organizzazione.
  2. Vai alla console di AWS Organizations.
  3. Seleziona Leave organization.
  4. Se l'account non ha alcun metodo di pagamento, è necessario fornirne uno.

D: In che modo è possibile creare un'unità organizzativa?

Per creare un'unità organizzativa, segui la procedura indicata di seguito:

  1. Registrati come amministratore dell'account master e apri la console di AWS Organizations.
  2. Seleziona la scheda Organize accounts.
  3. Apri la gerarchia nel punto in cui desideri creare l'unità organizzativa. È possibile crearla direttamente a livello root oppure all'interno di un'altra unità.
  4. Seleziona Create organizational unit e digita un nome per l'unità. Il nome deve essere univoco all'interno dell'organizzazione.

Nota: L'unità organizzativa può essere rinominata in un secondo momento.

È quindi possibile aggiungere account AWS all'unità. Per creare e gestire unità organizzative puoi anche utilizzare l'interfaccia a riga di comando e le API di AWS.

D: In che modo è possibile aggiungere un account AWS membro a un'unità organizzativa?

Segui queste istruzioni per aggiungere account membri a un'unità organizzativa:

  1. Nella console di AWS Organizations, seleziona la scheda Organize accounts.
  2. Seleziona l'account AWS, quindi Move account.
  3. Nella casella di dialogo, seleziona l'unità organizzativa a cui desideri aggiungere l'account AWS.

In alternativa, per aggiungere account a un'unità organizzativa puoi usare l'interfaccia a riga di comando e le API di AWS.

D: Un account AWS può essere membro di più di un'unità organizzativa?

No. Un account AWS può far parte di una sola unità organizzativa alla volta.

D: Un'unità organizzativa può essere membro di più di un'unità organizzativa?

No. Un'unità organizzativa può far parte di una sola unità organizzativa alla volta.

D: Quanti livelli può avere la gerarchia di un'unità organizzativa?

Possono essere presenti fino a 5 livelli di unità organizzative. Tale conteggio include il livello root e gli account AWS nel livello più basso.


D: In che modo è possibile controllare chi gestisce un'organizzazione?

Puoi controllare chi gestisce l'organizzazione e le relative risorse esattamente come gestisci l'accesso alle altre risorse AWS, collegando policy di IAM a utenti, gruppi e ruoli di IAM nell'account master. Con le policy di IAM, puoi controllare:

  • La creazione di organizzazioni, unità organizzative e account AWS.
  • L'aggiunta, il trasferimento e la rimozione di account AWS da e verso l'organizzazione e le unità organizzative.
  • La creazione e l'applicazione di policy a vari livelli (root, unità organizzative, account individuali).

D: Perché è presente un ruolo IAM definito in ogni account creato utilizzando AWS Organizations?

Questo ruolo permette agli utenti nell'account master di accedere a nuovi account membro. Un nuovo account membro, inizialmente, non dispone di alcun nome utente né di password; vi si può accedere esclusivamente usando questo ruolo. È possibile eliminare il ruolo solo dopo averlo utilizzato per accedere all'account membro e creare almeno un utente IAM con autorizzazioni di amministratore. Per ulteriori informazioni su ruoli e utenti IAM, consulta il documento Accessing a Member Account That Has a Master Account Access Role.

D: È possibile autorizzare la gestione di un'organizzazione a utenti IAM in qualsiasi account AWS membro dell'organizzazione?

Sì. Se desideri autorizzare a utenti IAM in un account membro a gestire l'organizzazione nella sua interezza o in una sua parte, puoi usare i ruoli di IAM. Puoi creare un ruolo con autorizzazioni personalizzate nell'account master e consentire agli utenti o ai ruoli nell'account membro di assumere il nuovo ruolo. Si tratta della stessa opzione multi-account che utilizzi per autorizzare un utente IAM in un account ad accedere a una risorsa in un altro account (ad esempio una tabella Amazon DynamoDB).

D: Un utente IAM in un account membro può registrarsi a un'organizzazione?

No. Gli utenti IAM possono registrarsi solo agli account membro a loro associati nell'organizzazione.

D: Un utente IAM può eseguire l'accesso a un'unità organizzativa?

No. Gli utenti IAM possono registrarsi solo agli account AWS a loro associati nell'organizzazione.

D: È possibile controllare chi, all'interno di un account AWS, può accettare un invito ad entrare a far parte di un'organizzazione?

Sì. Utilizzando le autorizzazioni di IAM, puoi consentire o impedire agli utenti di accettare o rifiutare gli inviti a entrare a far parte di un'organizzazione. Per visualizzare e gestire gli inviti in un account AWS, usa la policy seguente:

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect":"Allow",

            "Action":[

                "organizations:AcceptHandshake",

                "organizations:DeclineHandshake",

                "organizations:DescribeHandshake",

                "organizations:ListHandshakesForAccount"

            ],

            "Resource":" *"

        }

    ]

}


D: A quale livello dell'organizzazione è possibile applicare policy?

Puoi collegare policy a livello root dell'organizzazione per applicarle a tutti gli account al suo interno, a singole unità organizzative per applicarle a tutti gli account all'interno dell'unità, incluse quelle annidate, oppure a singoli account.

D: In che modo è possibile collegare una policy?

Sono disponibili due modi per collegare una policy:

  • Nella console di AWS Organizations, individua il livello a cui desideri applicare la policy (a livello root, di unità organizzativa o di account) e seleziona Attach Policy.
  • Nella console di Organizations, seleziona la scheda Policies, quindi esegui una delle seguenti azioni:
    • Scegli una policy esistente, quindi seleziona Attach Policy dal menu a discesa Actions e seleziona a quale livello desideri applicare la policy (root, unità organizzativa o account).
    • Scegli Create Policy, quindi scegli un livello (root, unità organizzativa o account) a cui applicare la nuova policy.

Per ulteriori informazioni, consulta Managing Policies.

D: Le policy sono ereditate attraverso le connessioni gerarchiche dell'organizzazione?

Sì. Ad esempio, supponiamo di aver disposto gli account AWS in unità organizzative secondo le fasi di sviluppo di un'applicazione: DEV, TEST e PROD. La policy P1 è collegata all'organizzazione, la policy P2 all'unità organizzativa DEV e la policy P3 all'account AWS A1 nella unità DEV. Secondo questa configurazione, P1+P2+P3 vengono tutte applicate all'account A1.

Per ulteriori informazioni, consulta About Service Control Policies.

D: Quali tipi di policy supporta AWS Organizations?

Al momento, AWS Organizations supporta le policy di controllo di servizi o SCP (Service Control Policies). Le policy di controllo di servizi possono essere utilizzate per definire e applicare i comandi che utenti, gruppi e ruoli IAM possono eseguire negli account a cui si applicano.

D: Cos'è una policy di controllo di servizi?

Le policy di controllo di servizi permettono di controllare quali operazioni di servizi AWS sono consentite alle entità (account root, utenti IAM e ruoli IAM) negli account dell'organizzazione. La policy di controllo di servizi è necessario, ma non è l'unico fattore che determina quali entità in un account possono autorizzare l'accesso da parte di altre entità alle risorse. L'autorizzazione effettiva per un'entità collegata a una policy di controllo di servizi viene garantita solo se i comandi esplicitamente consentiti dalla policy coincidono con i comandi esplicitamente consentiti dalle autorizzazioni collegate all'entità. Ad esempio, se una policy di controllo di servizi applicata a un account stabilisce che gli unici comandi consentiti sono quelli di Amazon EC2, e le autorizzazioni collegate a un'entità nello stesso account AWS permettono comandi di EC2 e di S3, l'entità potrà accedere solo ai comandi di EC2.

Le entità in un account membro (incluso il relativo utente root) non potranno rimuovere o modificare le policy applicate a tale account.

D: Qual è l'aspetto di una policy di controllo di servizi?

Le policy di controllo di servizi seguono le stesse regole e la stessa sintassi delle policy di IAM, però consentono di specificare condizioni, mentre la sezione relativa alle risorse deve essere pari a "*". Tali policy possono essere usate per negare o garantire l'accesso ai comandi dei servizi AWS.

Esempio di whitelist

La seguente policy di controllo di servizi consente l'accesso a tutti i comandi di EC2 e di S3 nell'account AWS. Le entità di un account (account root, utente IAM e ruolo IAM) a cui è applicata questa policy non saranno in grado di accedere ad alcun altro comando, indipendentemente dalle policy IAM assegnate loro direttamente. Perché le entità possano eseguire comandi di EC2 ed S3, tali policy dovranno autorizzarli esplicitamente.

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect":"Allow",

            "Action":["EC2:*","S3:*"],

            "Resource":"*"

        }

    ]

}

Esempio di blacklist

La seguente policy di controllo di servizi consente l'accesso a tutti i comandi dei servizi AWS eccetto al comando PutObject di S3. Tutte le entità (account root, utente IAM e ruolo IAM) che abbiano autorizzazioni adatte assegnate direttamente e che si trovino in un account a cui è applicata questa policy potranno accedere a tutti i comandi tranne al comando PutObject di S3.

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect":"Allow",

            "Action": "*:*",

            "Resource":"*"

        },

        {

            "Effect":"Deny",

            "Action":"S3:PutObject",

            "Resource":"*"

        }

    ]

}

Per visionare altri esempi, consulta Strategies for Using SCPs.

D: Se una policy di controllo di servizi vuota viene collegata a un account AWS, in tale account sono consentiti tutti i comandi dei servizi AWS?

No. Le policy di controllo di servizi si comportano esattamente come le policy di IAM: una policy vuota equivale a un comando DENY. Collegare una policy di controllo di servizi a un account è l'equivalente di collegare una policy che nega esplicitamente l'accesso a tutti i comandi.

D: È possibile specificare le risorse e le entità in una policy di controllo di servizi?

No. Nella release corrente, è possibile specificare solamente i servizi e i comandi AWS in una policy. Per indicare risorse ed entità è necessario usare le policy di autorizzazione di IAM nell'account AWS. Per ulteriori dettagli, consulta Service Control Policy Syntax.

D: Quali sono le autorizzazioni effettive se viene applicata una policy di controllo di servizi a un'organizzazione e le entità sono soggette a policy di IAM?

Le autorizzazioni effettive concesse a un'entità (account root, utenti IAM e ruoli IAM) in un account AWS a cui è applicata una policy di controllo di servizi sono definite come l'intersezione tra le autorizzazioni fornite dalla policy di controllo di servizi e quelle fornite all'entità dalle policy di IAM. Se ad esempio un utente di IAM ha "Allow": "ec2:* " e "Allow": "sqs:* ", e la policy di controllo di servizi collegata ha "Allow": "ec2:* " e "Allow": "s3:* ", le autorizzazioni risultanti sono "Allow": "ec2:* ". L'entità non potrà eseguire alcuna operazione con Amazon SQS (non consentito dalla policy di controllo) o S3 (non consentito dalle policy di IAM).

D: È possibile simulare gli effetti di una policy di controllo di servizi in un account AWS?

Sì, il simulatore di policy di IAM include gli effetti di policy di controllo di servizi. Se lo utilizzi con un account membro nell'organizzazione, permette di vedere gli effetti su entità singole nell'account. Un amministratore in un account membro con le necessarie autorizzazioni di AWS Organizations potrà verificare in che modo una policy di controllo di servizi incida sugli accessi per le entità (account root, utente IAM e ruolo IAM) in un account membro

Per ulteriori informazioni, consulta Service Control Policies.

D: È possibile creare e gestire un'organizzazione senza applicare una policy di controllo di servizi?

Sì. La decisione su quali policy applicare spetta a te. Ad esempio puoi creare un'organizzazione con il solo scopo di usufruire della funzionalità di fatturazione consolidata. In questo modo avrai a disposizione un account di pagamento unico per tutti gli account nell'organizzazione e riceverai automaticamente i vantaggi dello scaglione tariffario di default.


D: Quanto costa AWS Organizations?

AWS Organizations è disponibile senza costi aggiuntivi.

D: Chi paga l'utilizzo da parte degli utenti in un account AWS membro di un'organizzazione?

La responsabilità economica per l'utilizzo, i dati e le risorse degli account nell'organizzazione appartiene al proprietario dell'account master.

D: Quali sono le differenze tra AWS Organizations e la fatturazione consolidata?

Le caratteristiche di fatturazione consolidata fanno ora parte di AWS Organizations. Organizations consente di designare un unico account di pagamento per consolidare i pagamenti di più account AWS all'interno dell'organizzazione. Per ulteriori informazioni, consulta Consolidated Billing and AWS Organizations.

D: La fattura rispecchia la struttura a unità organizzative?

No. Per ora la struttura definita in un'organizzazione non si rifletterà nella fattura. Per suddividere in categorie e monitorare i costi di AWS è possibile assegnare ai singoli account AWS tag di allocazione dei costi, che saranno visibili nelle fatture consolidate.