Comece a usar o AWS Organizations

Teste o AWS Organizations

O AWS Organizations é disponibilizado a todos os clientes da AWS sem cobranças adicionais.

P: O que é o AWS Organizations?

O AWS Organizations oferece gerenciamento baseado em políticas para várias contas da AWS. Com o Organizations, é possível criar grupos de contas e aplicar políticas a esses grupos. O Organizations permite que você gerencie de maneira central políticas em várias contas, sem a necessidade de scripts personalizados e processos manuais.

P: Quais ações administrativas são permitidas pelo AWS Organizations?

O AWS Organizations permite as seguintes ações administrativas:

  • Criar uma conta da AWS e adicioná-la à sua organização ou adicionar uma conta da AWS atual a ela.
  • Organizar suas contas da AWS em grupos chamados de organizational units (OUs – unidades organizacionais).
  • Organizar as OUs em uma hierarquia que reflita a estrutura da sua empresa.
  • Centralizar o gerenciamento e anexar políticas à toda a organização, às OUs ou às contas individuais da AWS.

P: Quais controles o AWS Organizations permite nesta versão?

Nessa versão, é possível definir e aplicar ações de Serviço da AWS, como a RunInstance do Amazon EC2, que estão disponíveis para uso em diferentes contas da AWS dentro de uma organização.

P: Preciso migrar da minha família de faturamento consolidado para o AWS Organizations?

Não, a AWS migrou as famílias de faturamento consolidado para o AWS Organizations automaticamente, com apenas os recursos de faturamento consolidado habilitados.

P: Como posso começar?

Para começar a usá-lo, primeiro você deverá decidir qual das suas contas da AWS deverá tornar-se a conta principal. Se você tiver uma família de faturamento consolidado, sua conta de pagante de faturamento consolidado da AWS já terá sido convertida na conta principal. Se você não tiver uma família de faturamento consolidado, será possível criar uma nova conta da AWS ou selecionar uma atual.

Etapas que os clientes que usam o faturamento consolidado devem seguir

  1. Navegue até o console de faturamento consolidado. A AWS o redirecionará para o novo console do AWS Organizations.
  2. A AWS converte sua família de faturamento consolidado automaticamente para que você possa começar a usufruir logo dos novos recursos organizacionais.
Etapas que os clientes que não usam o faturamento consolidado devem seguir
 
Você precisará criar uma nova organização seguindo estas simples etapas:
 
  1. Faça login como administrador no Console de Gerenciamento da AWS usando a conta da AWS que você deseja usar para gerenciar sua organização.
  2. Acesse o console do AWS Organizations.
  3. Marque a opção Create Organization.
  4. Selecione quais recursos você deseja habilitar para a sua organização. Marque a opção consolidated billing only features ou all features
  5. Adicione contas da AWS à sua organização usando um dos dois métodos abaixo:
    1. Convide contas atuais da AWS a participar da organização ao usar seu ID de conta da AWS ou endereço de e-mail associado.
    2. Crie novas contas da AWS.
  6. Modele a hierarquia organizacional ao agrupar suas contas da AWS em OUs.
  7. Se você escolher habilitar todos os recursos da organização, poderá criar e atribuir controles a essas OUs.

Você também poderá usar a AWS CLI (para acesso à linha de comando) ou os SDKs (para acesso programático) para executar as mesmas etapas para criar uma nova organização.

Observação: só será possível iniciar a criação de uma nova organização por meio de uma conta da AWS que ainda não seja membro de outra organização.
 
Para obter mais informações, consulte os Conceitos básicos do AWS Organizations.

P: O que é uma organização?

Uma organização é um conjunto de contas da AWS que pode ser organizado de maneira hierárquica com gerenciamento centralizado.

P: O que é uma conta da AWS?

Uma conta da AWS é um contêiner para os seus recursos da AWS. Os recursos da AWS são criados e gerenciados em uma conta da AWS. Essa conta disponibiliza recursos administrativos de acesso e faturamento.

P: O que é uma conta principal?

Uma conta principal é a conta da AWS usada para criar uma organização. Por meio da conta principal, é possível criar outras contas na organização, convidar e gerenciar convites para que outras contas participem dela, além de remover contas da organização. Também é possível anexar políticas a entidades, como raízes administrativas, OUs ou contas dentro da organização. A conta-mestra tem a função de uma conta do pagante e é responsável pelo pagamento de todas as cobranças acumuladas pelas contas em sua organização. Não é possível alterar qual conta na organização é a conta-mestra.

P: O que é uma conta membro?

Uma conta membro é uma conta da AWS, diferente da conta principal, que faz parte de uma organização. Se você for o administrador de uma organização, será possível criar contas membro na organização e convidar contas atuais para participar dela. Também é possível aplicar políticas a contas membro. Uma conta membro pode pertencer a apenas uma organização de cada vez.

P: O que é uma raiz administrativa?

Uma raiz administrativa é o ponto inicial para a organização das contas da AWS. A raiz administrativa é o contêiner mais elevado na hierarquia da sua organização. Sob esta raiz, você poderá criar OUs para agrupar de maneira lógica suas contas e organizar essas OUs em uma hierarquia que atenda melhor às suas necessidades empresariais.

P: O que é uma OU?

Uma OU é um grupo de contas da AWS dentro de uma organização. Uma OU também pode conter outras OUs, o que permite criar uma hierarquia. Por exemplo, é possível agrupar todas as contas pertencentes ao mesmo departamento em uma OU de departamento. De modo similar, é possível agrupar todas as contas executando serviços de produção em uma OU de produção. As OUs serão úteis quando for necessário aplicar os mesmos controles a um subconjunto de contas na organização. O aninhamento de OUs permite unidades menores de gerenciamento. Por exemplo, em uma OU de departamento, é possível agrupar contas pertencentes a equipes individuais em OUs a nível de equipe. Essas OUs herdam as políticas da OU principal, além de qualquer outro controle atribuído diretamente à OU a nível de equipe.

P: O que é uma política?

Uma política é um "documento" com uma ou mais instruções que definem os controles que você deseja aplicar a um grupo de contas da AWS. Nesta versão, o AWS Organizations aceita um tipo específico de política chamada de SCP. Uma SCP define as ações de Serviço da AWS, como RunInstances do Amazon EC2, que estão disponíveis para uso em diferentes contas dentro de uma organização.


P: É possível definir e gerenciar minha organização regionalmente?

Não. Todas as entidades da organização são acessíveis globalmente, de modo similar a como o AWS Identity and Access Management (IAM) funciona atualmente. Não é necessário especificar uma região ao criar e gerenciar a organização. Os usuários nas suas contas da AWS podem usar Serviços da AWS em qualquer região geográfica em que eles estiverem disponíveis.

P: É possível alterar qual conta da AWS será a conta principal?

Não é possível alterar qual conta da AWS será a conta principal. Por isso, a conta-mestra deve ser selecionada com bastante cuidado.

P: Como adicionar uma conta da AWS à minha organização?

Use um dos dois métodos a seguir para adicionar uma conta da AWS à sua organização:

Método 1: para convidar uma conta atual para participar da sua organização

  1. Faça login como administrador da conta principal e navegue até o console do AWS Organizations.
  2. Selecione a guia Accounts.
  3. Selecione Add account e depois a opção Invite account.
  4. Informe o endereço de e-mail da conta que você deseja convidar ou o ID da conta da AWS da conta.

Observação: é possível convidar mais de uma conta da AWS, basta disponibilizar uma lista separada por vírgulas de endereços de e-mail ou IDs de conta da AWS.

A conta especificada da AWS receberá um e-mail a convidando para participar da sua organização. O administrador da conta convidada da AWS deve aceitar ou recusar a solicitação usando o console do AWS Organizations, a AWS CLI ou a API do Organizations. Se o administrador aceitar o convite, a conta poderá ser vista na lista de contas membro da organização. Qualquer política aplicável, como SCPs, serão aplicadas automaticamente na conta recém-adicionada. Por exemplo, se a organização tiver uma SCP anexada à raiz da organização, ela será aplicada diretamente nas contas recém-criadas.

Método 2: para criar uma conta da AWS na organização

  1. Faça login como administrador da conta principal e navegue até o console do AWS Organizations.
  2. Selecione a guia Accounts.
  3. Selecione Add account e depois a opção Create account.
  4. Dê um nome para a conta e informe seu endereço de e-mail.

Também é possível criar uma conta ao usar o AWS SDK ou a AWS CLI. Para ambos os métodos, depois de adicionar a nova conta, você poderá transferi-la para uma OU. A nova conta herda automaticamente as políticas anexadas à OU.

P: Uma conta da AWS pode ser membro de mais de uma organização?

Não. Uma conta da AWS só pode ser membro de uma organização de cada vez.

P: Como posso acessar uma conta da AWS criada na minha organização?

Como parte da criação da conta da AWS, o AWS Organizations cria uma função do IAM com permissões administrativas totais na nova conta. Os usuários e as funções do IAM com as permissões pertinentes na conta principal podem assumir esta função do IAM para obter acesso à conta recém-criada.

P: Posso configurar de modo programático o Multi-Factor Authentication (MFA) na conta da AWS que eu criar na minha organização?

Não. No momento, não oferecemos compatibilidade com esta função.

P: Posso transferir uma conta da AWS criada por mim usando o AWS Organizations para outra organização?

Não. No momento, não oferecemos compatibilidade com esta função.

P:  Posso remover uma conta da AWS criada por mim usando o Organizations e torná-la uma conta independente (standalone)?

Sim. No entanto, ao criar uma conta em uma organização usando o console do AWS Organizations, a API ou os comandos da ILC, todas as informações exigidas das contas independentes não serão coletadas automaticamente. Para cada conta que você desejar tornar independente, será necessário primeiro aceitar o Contrato de cliente da AWS, escolher um plano de suporte, disponibilizar e confirmar as informações de contato exigidas, bem como informar o método de pagamento atual. A AWS usa o método de pagamento para cobrar qualquer atividade da AWS faturável (fora do nível gratuito da AWS) que ocorra enquanto a conta não estiver associada a uma organização. Para obter mais informações, consulte To leave an organization when all required account information has not yet been provided (console).

P: Quantas contas da AWS posso gerenciar na minha organização?

Isso varia. Se você precisar de contas adicionais, acesse o AWS Support Center e abra um caso de suporte para solicitar um aumento.

P: É possível remover uma conta membro da AWS de uma organização?

É possível remover uma conta de membro ao usar um dos dois métodos a seguir. Pode ser necessário disponibilizar informações adicionais para remover uma conta criada usando o Organizations. Se a tentativa de remover uma conta falhar, acesse o AWS Support Center e solicite ajuda para remover a conta.

Método 1: remova uma conta membro convidada ao fazer login na conta principal

  1. Faça login como administrador da conta principal e navegue até o console do AWS Organizations.
  2. No painel esquerdo, selecione Accounts.
  3. Selecione a conta que deseja remover e selecione Remove account.
  4. Se a conta não tiver um método válido de pagamento, você deverá disponibilizá-lo.

Método 2: remova uma conta membro convidada ao fazer login na conta membro

  1. Faça login como um administrador da conta membro que você deseja remover da organização.
  2. Navegue até o console do AWS Organizations.
  3. Selecione Leave organization.
  4. Se a conta não tiver um método de pagamento, você deverá disponibilizá-lo.

P: Como criar uma OU?

Para criar uma OU, siga as etapas abaixo:

  1. Faça login como administrador da conta principal e navegue até o console do AWS Organizations.
  2. Selecione a guia Organize accounts.
  3. Navegue na hierarquia em que você deseja criar a OU. É possível criá-la diretamente sob a raiz ou dentro de outra OU.
  4. Selecione Create organizational unit e dê um nome para a OU. O nome deve ser exclusivo dentro da organização.

Observação: é possível renomear a OU posteriormente.

Agora, será possível adicionar contas da AWS à OU. Também será possível usar a AWS CLI e as APIs da AWS para criar e gerenciar uma OU.

P: Como adicionar uma conta membro da AWS a uma OU?

Siga estas etapas para adicionar contas membro a uma OU:

  1. No console do AWS Organizations, selecione a guia Organize accounts.
  2. Selecione a conta da AWS e depois a opção Move account.
  3. Na caixa de diálogo, selecione a OU que deseja transferir para a conta da AWS.

Como opção, é possível usar a AWS CLI e as APIs da AWS para adicionar contas da AWS a uma OU.

P: Uma conta da AWS pode ser membro de várias OUs?

Não. Uma conta da AWS só pode ser membro de uma OU de cada vez.

P: Uma OU pode ser membro de várias OUs?

Não. Uma OU só pode ser membro de uma OU de cada vez.

P: Quantos níveis posso ter na minha hierarquia de OU?

Você poderá aninhar suas OUs em até cinco níveis. Mesmo com raiz e contas da AWS criadas na OU mais baixa, sua hierarquia pode ter cinco níveis.


P: Como controlar quem gerencia minha organização?

É possível controlar quem gerencia sua organização e seus recursos do mesmo modo que você gerencia o acesso a outros recursos da AWS: anexe políticas do IAM a usuários, grupos ou funções do IAM na conta principal. Com as políticas do IAM, é possível controlar o seguinte:

  • A criação de uma OU, organização ou conta da AWS.
  • Como adicionar, transferir e remover contas da AWS para a organização e as OUs, bem como da organização e das OUs.
  • A criação de políticas e sua anexação à raiz da organização, das OUs e de contas individuais.

P: Por que há uma função do IAM definida em todas as contas criadas usando o AWS Organizations?

Essa função permite que usuários da conta mestre acessem uma nova conta membro. Inicialmente, uma nova conta membro não tem usuários ou senhas que podem ser acessados usando apenas essa função. Após usar a função para acessar a conta membro e criar pelo menos um usuário do IAM com permissões de administrador, você poderá excluir essa função, se quiser. Para obter mais informações sobre as funções e usuários do IAM, consulte Acessar a conta de um membro que tem função de acesso de conta-mestre.

P: É possível conceder uma permissão para gerenciar minha organização a usuários do IAM em qualquer conta membro da AWS na organização?

Sim. Se você desejar conceder a usuários do IAM em uma conta membro permissão para gerenciar toda a sua organização ou partes dela, será possível usar funções do IAM. Crie uma função com as permissões adequadas na conta principal e permita que os usuários ou funções na conta membro assumam a nova função. Este é o mesmo método entre contas usado para conceder a um usuário do IAM em uma conta acesso a um recurso (por exemplo, a uma tabela do Amazon DynamoDB) em outra conta.

P: É possível que um usuário do IAM em uma conta membro faça login na minha organização?

Não. Os usuários do IAM podem fazer login apenas na conta membro a que estão associados na sua organização.

P: É possível que um usuário do IAM faça login em uma OU na minha organização?

Não. Os usuários do IAM podem fazer login apenas na conta da AWS a que estão associados na sua organização.

P: É possível controlar quem na minha conta da AWS pode aceitar um convite para participar de uma organização?

Sim. Ao usar permissões do IAM, é possível conceder ou negar aos usuários na sua conta a capacidade de aceitar ou recusar convites para participar de uma organização. A política a seguir concede acesso para ver e gerenciar convites em uma conta da AWS:

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect":"Allow",

            "Action":[

                "organizations:AcceptHandshake",

                "organizations:DeclineHandshake",

                "organizations:DescribeHandshake",

                "organizations:ListHandshakesForAccount"

            ],

            "Resource":" *"

        }

    ]

}


P: Em quais níveis da minha organização é possível aplicar uma política?

É possível anexar uma política à raiz da organização (aplica-se a todas as contas da organização), às OUs individuais (aplica-se a todas as contas da OU, inclusive às OUs aninhadas), ou às contas individuais.

P: Como posso anexar uma política?

É possível anexar uma política escolhendo uma das duas maneiras a seguir:

  • No console do AWS Organizations, navegue até o local em que você deseja atribuir a política (à OU, à raiz ou a uma conta) e depois selecione Attach Policy.
  • No console do Organizations, selecione a guia Policies e escolha uma das seguintes ações:
    • Escolha uma política atual, selecione Attach Policy na lista suspensa Actions e selecione a OU, a raiz ou a conta à qual você deseja anexar a política.
    • Selecione Create Policy e, como parte do fluxo de trabalho da criação de políticas, selecione a OU, a raiz ou a conta à qual você deseja anexar a nova política.

Para obter mais informações, consulte Managing Policies.

P: As políticas são herdadas por meio de conexões hierárquicas na minha organização?

Sim. Por exemplo, vamos supor que você organizou as contas da AWS em OUs de acordo com os seus estágios de desenvolvimento de aplicações: DEV, TEST e PROD. A política P1 está anexada à raiz da organização, a política P2 está anexada à DEV OU e a política P3 está anexada à conta A1 da AWS na DEV OU. Com esta configuração, P1+P2+P3 são aplicáveis à conta A1.

Para obter mais informações, consulte About Service Control Policies.

P: Que tipos de políticas são aceitas pelo AWS Organizations?

No momento, o AWS Organizations aceita as SCPs. É possível usar as SCPs para definir e aplicar que ações os usuários, os grupos e as funções do IAM podem executar nas contas em que as políticas de controle de serviços se aplicam.

P: O que é uma Service Control Policy (SCP – política de controle de serviços)?

As SCPs permitem que você controle quais ações de Serviço da AWS estão acessíveis para principais (raiz de conta, usuários do IAM e funções do IAM) nas contas da sua organização. Uma SCP é exigida, mas não é o único controle que determina quais principais em uma conta podem acessar os recursos para conceder aos principais em uma conta acesso a recursos. A permissão efetiva no principal de uma conta que tenha uma SCP anexada é a interseção daquilo que é permitido explicitamente na SCP e o que é permitido explicitamente nas permissões anexadas ao principal. Por exemplo, se uma SCP aplicada a uma conta afirmar que as únicas ações permitidas são as ações do Amazon EC2, e as permissões em um principal na mesma conta da AWS permitirem ações do EC2 e do Amazon S3, o principal poderá acessar apenas as ações do EC2.

Os principais em uma conta membro (inclusive o usuário raiz da conta membro) não poderão remover ou alterar SCPs aplicadas à conta em questão.

P: Qual é a aparência de uma SCP?

As SCPs seguem as mesmas regras e gramáticas das políticas do IAM, exceto pelo fato de que você não poderá especificar condições e a seção do recursos deverá ser igual a "*". É possível usar uma SCP para negar ou permitir acesso às ações de Serviço da AWS.

Exemplo de lista branca

A SCP a seguir concede acesso a todas as ações de serviço do EC2 e do S3 na conta da AWS. Todos os principais (raiz de conta, usuário do IAM e função do IAM) em uma conta com essa SCP aplicada não poderão acessar nenhuma outra ação, não importa quais políticas do IAM estejam diretamente atribuídas a eles. Essas políticas do IAM devem conceder explicitamente acesso a ações de serviços do EC2 ou do S3 para que os principais possam acessá-las.

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect":"Allow",

            "Action":["EC2:*","S3:*"],

            "Resource":"*"

        }

    ]

}

Exemplo de lista negra

A SCP a seguir permite o acesso a todas as ações de Serviço da AWS, exceto à ação PutObject do S3. Todos os principais (raiz de conta, usuário do IAM e função do IAM) com as permissões pertinentes atribuídas a eles em uma conta com essa SCP aplicada poderão acessar qualquer ação, exceto a PutObject do S3.

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect":"Allow",

            "Action": "*:*",

            "Resource":"*"

        },

        {

            "Effect": "Deny",

            "Action":"S3:PutObject",

            "Resource":"*"

        }

    ]

}

Para obter mais exemplos, consulte Strategies for Using SCPs.

P: Se eu anexar uma SCP vazia a uma conta da AWS, isso significará que concedo permissão a todas as ações de Serviço da AWS na conta da AWS em questão?

Não. As SCPs têm o mesmo comportamento das políticas do IAM: uma política do IAM vazia é equivalente a um DENY padrão. A anexação de uma SCP vazia a uma conta é o equivalente a anexar uma política que negue explicitamente todas as ações.

P: É possível especificar os recursos e os principais em uma SCP?

Não. Na versão atual, é possível especificar apenas as ações e os Serviços da AWS em uma SCP. É possível especificar recursos e principais usando políticas de permissão do IAM dentro da conta da AWS. Para obter mais detalhes, consulte Service Control Policy Syntax.

P: Quais são as permissões efetivas, caso eu aplique uma SCP à minha organização e os meus principais também tenham políticas do IAM?

As permissões efetivas concedidas a um principal (raiz de conta, usuário do IAM e função do IAM) em uma conta da AWS com uma SCP aplicada são a interseção entre aquelas permitidas pela política de controle de acesso e as permissões concedidas ao principal pelas políticas de permissão do IAM. Por exemplo, se um usuário do IAM tiver "Allow": "ec2:* " e "Allow": "sqs:* ", e a SCP anexada à conta tiver "Allow": "ec2:* " e "Allow": "s3:* ", a permissão que resultará para o usuário do IAM será "Allow": "ec2:* ". O principal não poderá executar nenhuma ação do Amazon SQS (não permitida pela política de controle de serviços) ou do S3 (não concedida pela política do IAM).

P: É possível simular o efeito de uma SCP em uma conta da AWS?

Sim. O simulador de políticas do IAM pode incluir os efeitos das SCPs. É possível usar o simulador de políticas em uma conta membro na sua organização para entender o efeito em principais individuais na conta em questão. Um administrador em uma conta membro com as permissões pertinentes do AWS Organizations poderá ver se uma SCP está interferindo no acesso dos principais (raiz de conta, usuário do IAM e função do IAM) na sua conta membro.

Para obter mais informações, consulte Service Control Policies.

P: É possível criar e gerenciar uma organização sem aplicar uma SCP?

Sim. Você decide quais políticas deseja aplicar. Por exemplo, é possível criar uma organização que utilize apenas a funcionalidade de faturamento consolidado. Ela permite que você tenha uma conta de pagante único para todas as contas na sua organização, além de receber automaticamente os benefícios da definição de preço em camadas padrão.


P: Qual é o custo do AWS Organizations?

O serviço é oferecido gratuitamente.

P: Quem paga pelo uso gerado pelos usuários em uma conta membro da AWS na minha organização?

O proprietário da conta principal é responsável pelo pagamento de todos dados, utilização e recursos consumidos pelas contas na organização.

P: Como o AWS Organizations se compara ao faturamento consolidado?

Os recursos do faturamento consolidado agora fazem parte do AWS Organizations. O Organizations permite que você consolide o pagamento de várias contas da AWS dentro da sua empresa ao designar uma conta de pagante único. Para obter mais informações, consulte Consolidated Billing and AWS Organizations.

P: A fatura refletirá a estrutura da OU criada na organização?

Não. Por enquanto, a fatura não refletirá a estrutura definida na sua organização. É possível usar as tags de alocação de custos nas contas individuais da AWS para categorizar e monitorar os custos da AWS. Esta alocação poderá ser vista na fatura consolidada da organização.