Perguntas frequentes sobre o AWS Organizations

P: O que é o AWS Organizations?

O AWS Organizations ajuda a administrar seu ambiente de maneira centralizada conforme você amplia suas cargas de trabalho na AWS. Quer você seja uma startup em crescimento ou uma grande corporação, o Organizations ajuda a criar programaticamente novas contas e alocar recursos, simplificar o faturamento com a configuração de um único método de pagamento para todas as suas contas, criar grupos de contas para organizar seus fluxos de trabalho e aplicar políticas a esses grupos para governança. Além disso, o AWS Organizations é integrado a outros serviços da AWS, para que você possa definir configurações centrais, mecanismos de segurança e o compartilhamento de recursos entre contas na sua organização.

P: Quais são os recursos de governança e gerenciamento centralizado oferecidos pelo AWS Organizations?
O AWS Organizations oferece os seguintes recursos:

• Automatizar a criação e o gerenciamento de contas da AWS e provisione recursos com o Stacksets do AWS CloudFormation
• Manter um ambiente seguro com políticas e o gerenciamento de serviços de segurança da AWS
• Governar o acesso aos serviços, recursos e regiões da AWS
• Gerenciar políticas de maneira centralizada em várias contas da AWS
• Fazer a auditoria da conformidade do seu ambiente 
• Visualizar e gerenciar custos com faturamento consolidado 
• Configurar os serviços da AWS em várias contas
  

P: Em quais regiões da AWS o AWS Organizations está disponível?

O AWS Organizations está disponível em todas as regiões comerciais da AWS, em regiões da AWS GovCloud (EUA) e em regiões da China. Os endpoints de serviço do AWS Organizations estão localizados no Leste dos Estados Unidos (Virgínia do Norte) para organizações comerciais e na AWS GovCloud (EUA-Oeste) para organizações da AWS GovCloud (EUA) e na região da AWS China (Ningxia), operada pela NWCD.

P: Como posso começar?

Para começar, primeiro você precisa decidir qual das suas contas da AWS se tornará a conta de gerenciamento (anteriormente conhecida como conta mestra). Crie uma nova conta da AWS ou selecione uma que já existe.

1. Faça login como administrador no Console de Gerenciamento da AWS com a conta da AWS que você deseja usar para gerenciar sua organização.
2. Acesse o console do AWS Organizations.
3. Escolha a opção Create Organization (Criar organização).
4. Selecione quais recursos você deseja habilitar para a sua organização. Marque a opção recursos somente para faturamento consolidado ou todos os recursos. Convém selecionar todos os recursos é recomendada quando você deseja aproveitar todos os recursos de gerenciamento central do AWS Organizations.
5. Adicione contas da AWS à sua organização usando um dos dois métodos abaixo: 
   1. Convide contas atuais da AWS para a sua organização, usando seus respectivos IDs de conta da AWS ou endereços de e-mail associados.
   2. Crie novas contas da AWS.
6. Modele a hierarquia organizacional ao agrupar suas contas da AWS em UOs.
7. Crie políticas (como políticas de controle de serviço ou políticas de backup) para UOs, contas ou a organização (disponível apenas para organizações de todos os recursos).
8. Habilite serviços da AWS integrados ao AWS Organizations.
   

Você também poderá usar a CLI da AWS (para acesso pela linha de comando) ou os SDKs para seguir as mesmas etapas de criação de uma nova organização.

Observação: só será possível iniciar a criação de uma nova organização por meio de uma conta da AWS que ainda não seja membro de outra organização.

Para obter mais informações, consulte Conceitos básicos do AWS Organizations.

P: O que é o AWS Control Tower?

O AWS Control Tower, integrado a serviços da AWS como o AWS Organizations, oferece a maneira mais fácil de configurar e administrar um ambiente novo, seguro e com várias contas da AWS. Ele estabelece um destino de pouso, que é um ambiente bem arquitetado e com várias contas com base em esquemas de práticas recomendadas, e permite a governança usando proteções que você pode escolher. Proteções são SCPs e regras do AWS Config que implementam a governança para segurança, conformidade e operações.

P: Qual é a diferença entre o AWS Control Tower e o AWS Organizations?

O AWS Control Tower oferece uma experiência abstrata, automatizada e prescritiva que vai além do AWS Organizations. Ele configura automaticamente o AWS Organizations como o serviço subjacente da AWS para organizar contas e implementar proteções preventivas usando SCPs. Control Tower e o Organizations trabalham bem em conjunto. Você pode usar o Control Tower para configurar seu ambiente e definir proteções e, em seguida, usando o AWS Organizations, você pode criar políticas personalizadas (como tag, backup ou SCPs) que controlam centralmente o uso de serviços e recursos da AWS em várias contas da AWS.

P: O AWS Control Tower usa proteções. O que é uma proteção?

Proteções são regras de governança de SCPs e do AWS Config pré-empacotadas para segurança, operações e conformidade que os clientes podem selecionar e aplicar em toda a empresa ou a grupos específicos de contas. Uma proteção é expressa em linguagem simples e aplica uma política de governança específica ao seu ambiente da AWS que pode ser habilitada em uma unidade organizacional (UO).

P: Quando devo usar o AWS Control Tower?

O AWS Control Tower é para clientes que desejam criar ou gerenciar seu ambiente da AWS com várias contas com práticas recomendadas incorporadas. Ele oferece orientação prescritiva para controlar seu ambiente da AWS em grande escala e oferece controle sobre seu ambiente sem sacrificar a velocidade e a agilidade que a AWS oferece aos criadores. Você se beneficiará com o AWS Control Tower se estiver criando um novo ambiente da AWS, iniciando sua jornada na AWS, iniciando uma nova iniciativa de nuvem, se for completamente novo na AWS ou se tiver um ambiente da AWS com várias contas existentes.

P: O que é uma organização?

Uma organização é um conjunto de contas da AWS que pode ser organizado de maneira hierárquica com gerenciamento centralizado.

P: O que é uma conta da AWS?

Uma conta da AWS é um contêiner para os seus recursos da AWS. Os recursos da AWS são criados e gerenciados em uma conta da AWS. Essa conta disponibiliza recursos administrativos de acesso e faturamento.

O uso de várias contas da AWS é uma prática recomendada para escalar seu ambiente, pois fornece um limite de faturamento natural para custos, isola recursos para fins de segurança, oferece flexibilidade para indivíduos e equipes, além de ser adaptável a novos processos de negócios.

P: O que é uma conta de gerenciamento (anteriormente conhecida como conta mestra)?

Uma conta de gerenciamento é a conta da AWS usada para criar uma organização. Por meio da conta de gerenciamento, é possível criar outras contas na organização, convidar e gerenciar convites para que outras contas participem dela, além de remover contas da organização. Também é possível anexar políticas a entidades, como raízes administrativas, OUs ou contas dentro da organização. A conta de gerenciamento é o proprietário final da organização, tendo controle final sobre as políticas de segurança, infraestrutura e finanças. Essa conta de gerenciamento tem a função de uma conta de pagante e é responsável pelo pagamento de todas as cobranças acumuladas pelas contas em sua organização. Não é possível alterar qual conta na organização é a conta de gerenciamento.

P: O que é uma conta-membro?

Uma conta-membro é uma conta da AWS, diferente da conta de gerenciamento, que faz parte de uma organização. Se você for o administrador de uma organização, será possível criar contas membro na organização e convidar contas atuais para participar dela. Também é possível aplicar políticas a contas membro. Uma conta membro pode pertencer a apenas uma organização de cada vez.

P: O que é uma raiz administrativa?

Uma raiz administrativa está contida na conta de gerenciamento e é o ponto de partida para organizar suas contas da AWS. A raiz administrativa é o contêiner mais elevado na hierarquia da sua organização. Sob esta raiz, você poderá criar UOs para agrupar de maneira lógica suas contas e organizar essas UOs em uma hierarquia que atenda melhor às suas necessidades empresariais.

P: O que é uma unidade organizacional (UO)?

Uma UO é um grupo de contas da AWS dentro de uma organização. Uma UO também pode conter outras UOs, o que permite criar uma hierarquia. Por exemplo, é possível agrupar todas as contas pertencentes ao mesmo departamento em uma UO de departamento. Da mesma forma, você pode agrupar todas as contas executando serviços de segurança em uma UO de segurança. As UOs serão úteis quando for necessário aplicar os mesmos controles a um subconjunto de contas na organização. O aninhamento de UOs permite unidades menores de gerenciamento. Por exemplo, você pode criar UOs para cada carga de trabalho e, em seguida, criar duas UOs aninhadas em cada UO de carga de trabalho para dividir as cargas de trabalho de produção e pré-produção. Essas UOs herdam as políticas da UO principal, além de qualquer outro controle atribuído diretamente à UO a nível de equipe.

P: O que é uma política?

Uma política é um "documento" com uma ou mais instruções que definem os controles que você deseja aplicar a um grupo de contas da AWS. O AWS Organizations oferece suporte às seguintes políticas:

• Políticas de backup — exigem backups da AWS em uma cadência especificada
• Políticas de tag — definem chaves de tag e valores permitidos
• Políticas de exclusão de serviços de IA — controla como os serviços de IA armazenam ou usam conteúdo
• Políticas de controle de serviço (SCPs) — Uma SCP define as ações de Serviço da AWS, como RunInstances do Amazon EC2, que estão disponíveis para uso em diferentes contas dentro de uma organização.
  

P: É possível definir e gerenciar minha organização regionalmente?

Todas as entidades da organização são acessíveis globalmente, exceto no caso de organizações gerenciadas na China, de modo semelhante a como o AWS Identity and Access Management (IAM) funciona atualmente. Você não precisa especificar uma Região da AWS ao criar e gerenciar sua organização, mas precisará criar uma organização separada para contas usadas na China. Os usuários nas suas contas da AWS podem usar Serviços da AWS em qualquer região geográfica em que eles estiverem disponíveis.

P: É possível alterar qual conta da AWS será a conta de gerenciamento?

Não. Não é possível alterar qual conta da AWS será a conta de gerenciamento. Por isso, a conta de gerenciamento deve ser selecionada com bastante cuidado.

P: Como adicionar uma conta da AWS à minha organização?

Use um dos dois métodos a seguir para adicionar uma conta da AWS à sua organização:

Método 1: para convidar uma conta atual para participar da sua organização

1. Faça login como administrador da conta de gerenciamento e navegue até o console do AWS Organizations.

2. Selecione a guia Accounts.

3. Selecione Add account e depois a opção Invite account.

4. Informe o endereço de e-mail da conta que você deseja convidar ou o ID da conta da AWS da conta.

Observação: é possível convidar mais de uma conta da AWS, basta disponibilizar uma lista separada por vírgulas de endereços de e-mail ou IDs de conta da AWS.

A conta especificada da AWS receberá um e-mail a convidando para participar da sua organização. O administrador da conta convidada da AWS deve aceitar ou recusar a solicitação usando o console do AWS Organizations, a AWS CLI ou a API do Organizations. Se o administrador aceitar o convite, a conta poderá ser vista na lista de contas membro da organização. Qualquer política aplicável, como SCPs, serão aplicadas automaticamente na conta recém-adicionada. Por exemplo, se a organização tiver uma SCP anexada à raiz da organização, ela será aplicada diretamente nas contas recém-criadas.

Método 2: para criar uma conta da AWS na organização

1. Faça login como administrador da sua conta de gerenciamento e navegue até o console do AWS Organizations.

2. Selecione a guia Accounts.

3. Selecione Add account e depois a opção Create account.

4. Dê um nome para a conta e informe seu endereço de e-mail.

Também é possível criar uma conta ao usar o AWS SDK ou a AWS CLI. Para ambos os métodos, depois de adicionar a nova conta, você poderá transferi-la para uma OU. A nova conta herda automaticamente as políticas anexadas à OU.

P: Uma conta da AWS pode ser membro de mais de uma organização?

Não. Uma conta da AWS só pode ser membro de uma organização de cada vez.

P: Como posso acessar uma conta da AWS criada na minha organização?

Como parte da criação da conta da AWS, o AWS Organizations cria uma função do IAM com permissões administrativas totais na nova conta. Os usuários e as funções do IAM com as permissões pertinentes na conta mestra podem assumir esta função do IAM para obter acesso à conta recém-criada.

P: Posso configurar de modo programático o Multi-Factor Authentication (MFA) na conta da AWS que eu criar na minha organização?

Não. No momento, não há suporte para isso.

P: Posso transferir uma conta da AWS criada por mim usando o AWS Organizations para outra organização?

Sim. No entanto, você deve antes remover a conta da organização e torná-la uma conta autônoma (veja abaixo). Depois de ser tornada autônoma, a conta poderá ser convidada para ingressar em outra organização.

P: Posso remover uma conta da AWS criada por mim usando o Organizations e torná-la uma conta autônoma?

Sim. Quando você cria uma conta em uma organização usando o console, a API ou os comandos da ILC do AWS Organizations, a AWS não coleta todas as informações necessárias para contas autônomas. Para cada conta que você deseja tornar autônoma, é necessário atualizar estas informações, que podem incluir: fornecer informações de contato, concordar com o Contrato de cliente da AWS, fornecer um método de pagamento válido e escolher uma opção de plano de suporte. A AWS usa o método de pagamento para cobrar qualquer atividade da AWS faturável (fora do nível gratuito da AWS) que ocorra enquanto a conta não estiver associada a uma organização. Para obter mais informações, consulte Como remover uma conta-membro da sua organização .

P: Quantas contas da AWS posso gerenciar na minha organização?

Isso varia. Se precisar de contas adicionais, acesse o AWS Support Center e abra um caso de suporte para solicitar um aumento.

P: Como posso remover uma conta-membro da AWS de uma organização?

É possível remover uma conta de membro ao usar um dos dois métodos a seguir. Pode ser necessário disponibilizar informações adicionais para remover uma conta criada usando o Organizations. Se a tentativa de remover uma conta falhar, acesse o AWS Support Center e solicite ajuda para remover a conta.

Método 1: remova uma conta-membro convidada fazendo login na conta de gerenciamento

1. Faça login como administrador da conta mestra e navegue até o console do AWS Organizations.

2. No painel esquerdo, selecione Accounts.

3. Selecione a conta que deseja remover e selecione Remove account (Remover conta).

4. Se a conta não tiver um método válido de pagamento, você deverá disponibilizá-lo.

Método 2: remova uma conta membro convidada ao fazer login na conta membro

1. Faça login como um administrador da conta membro que você deseja remover da organização.

2. Navegue até o console do AWS Organizations.

3. Escolha *Deixar organização*.

4. Se a conta não tiver um método de pagamento, você deverá disponibilizá-lo.

P: Como posso criar uma unidade organizacional (UO)?

Para criar uma OU, siga as etapas abaixo:

1. Faça login como administrador da conta de gerenciamento e navegue até o console do AWS Organizations.

2. Escolha a guia Organizar contas.

3. Navegue na hierarquia em que você deseja criar a OU. É possível criá-la diretamente sob a raiz ou dentro de outra OU.

4. Escolha Criar unidade organizacional e forneça um nome para sua UO. O nome deve ser exclusivo dentro da organização.

Observação: é possível renomear a OU posteriormente.

Agora, será possível adicionar contas da AWS à OU. Também será possível usar a AWS CLI e as APIs da AWS para criar e gerenciar uma OU.

P: Como adicionar uma conta-membro da AWS a uma UO?

Siga estas etapas para adicionar contas membro a uma OU:

1. No console do AWS Organizations, selecione a guia Organize accounts.

2. Selecione a conta da AWS e depois a opção Move account.

3. Na caixa de diálogo, selecione a OU que deseja transferir para a conta da AWS.

Como opção, é possível usar a AWS CLI e as APIs da AWS para adicionar contas da AWS a uma OU.

P: Uma conta da AWS pode ser membro de várias UOs?

Não. Uma conta da AWS só pode ser membro de uma OU de cada vez.

P: Uma UO pode ser membro de várias UOs?

Não. Uma OU só pode ser membro de uma OU de cada vez.

P: Quantos níveis posso ter na minha hierarquia de UO?

Você poderá aninhar suas OUs em até cinco níveis. Mesmo com raiz e contas da AWS criadas na OU mais baixa, sua hierarquia pode ter cinco níveis.

P: Em quais níveis da minha organização é possível aplicar uma política?

É possível anexar uma política à raiz da organização (aplica-se a todas as contas da organização), às OUs individuais (aplica-se a todas as contas da OU, inclusive às OUs aninhadas), ou às contas individuais.

P: Como posso anexar uma política?

É possível anexar uma política escolhendo uma das duas maneiras a seguir:

• No console do AWS Organizations, navegue até o local em que você deseja atribuir a política (à OU, à raiz ou a uma conta) e depois escolha Attach Policy (Anexar política).
• No console do Organizations, escolha a guia Políticas e selecione uma das seguintes ações:
  Escolha uma política atual, selecione Anexar política na lista suspensa Ações e selecione a UO, a raiz ou a conta à qual você deseja anexar a política.
• Escolha Criar política e, como parte do fluxo de trabalho da criação de políticas, selecione a UO, a raiz ou a conta à qual você deseja anexar a nova política.

Para obter mais informações, consulte Gerenciar políticas.

P: As políticas são herdadas por meio de conexões hierárquicas na minha organização?

Sim. Por exemplo, vamos supor que você organizou as contas da AWS em OUs de acordo com os seus estágios de desenvolvimento de aplicações: DEV, TEST e PROD. A política P1 está anexada à raiz da organização, a política P2 está anexada à DEV OU e a política P3 está anexada à conta A1 da AWS na DEV OU. Com esta configuração, P1+P2+P3 são aplicáveis à conta A1.
Para obter mais informações, consulte Sobre políticas de controle de serviço.

P: Que tipos de políticas são aceitas pelo AWS Organizations?

Atualmente, o AWS Organizations oferece suporte às seguintes políticas:

• Políticas de backup — exigem backups em uma cadência especificada usando o AWS Backup
• Políticas de tag — definem chaves de tag e valores permitidos
• Políticas de exclusão de serviços de IA — controla como os serviços de IA armazenam ou usam o conteúdo da organização
• Políticas de controle de serviço (SCPs) definem e aplicam as ações que usuários, grupos e funções do IAM podem realizar nas contas ás quais essas políticas se aplicam

P: O que é uma política de controle de serviço (SCP)?

As SCPs permitem que você controle quais ações de Serviço da AWS estão acessíveis para principais (raiz de conta, usuários do IAM e funções do IAM) nas contas da sua organização. Uma SCP é exigida, mas não é o único controle que determina quais principais em uma conta podem acessar os recursos para conceder aos principais em uma conta acesso a recursos. A permissão efetiva no principal de uma conta que tenha uma SCP anexada é a interseção daquilo que é permitido explicitamente na SCP e o que é permitido explicitamente nas permissões anexadas à entidade principal. Por exemplo, se uma SCP aplicada a uma conta afirmar que as únicas ações permitidas são as ações do Amazon EC2, e as permissões em uma entidade principal na mesma conta da AWS permitirem ações do EC2 e do Amazon S3, a entidade principal poderá acessar apenas as ações do EC2.
Os principais em uma conta membro (inclusive o usuário raiz da conta membro) não poderão remover ou alterar SCPs aplicadas à conta em questão.  

P: Qual é a aparência de uma SCP?

As SCPs seguem as mesmas regras e gramática de políticas do IAM. Para saber mais sobre a sintaxe de SCPs, consulte SCP Syntax (Sintaxe de SCPs). Para exemplos de SCPs, consulte exemplo de políticas de controle de serviço.  

{ 

 "Version":"2012-10-17", 

 "Statement":[ 

 { 

 "Effect":"Allow", 

 "Action":["EC2:*","S3:*"], 

 "Resource":"*" 

 } 

 ] 

 }

Exemplo de lista negra
A SCP a seguir permite o acesso a todas as ações de Serviço da AWS, exceto à ação PutObject do S3. Todos os principais (raiz de conta, usuário do IAM e função do IAM) com as permissões pertinentes atribuídas a eles em uma conta com essa SCP aplicada poderão acessar qualquer ação, exceto a PutObject do S3. 

{ 

 "Version":"2012-10-17", 

 "Statement":[ 

 { 

 "Effect":"Allow", 

 "Action": "*:*", 

 "Resource":"*" 

 }, 

 { 

 "Effect":"Deny", 

 "Action":"S3:PutObject", 

 "Resource":"*" 

 } 

 ] 

 }

Para ver mais exemplos, consulte Estratégias para usar SCPs.

P: Se eu anexar uma SCP vazia a uma conta da AWS, isso significará que concedo permissão a todas as ações de Serviço da AWS na conta da AWS em questão?

Não. As SCPs têm o mesmo comportamento das políticas do IAM: uma política do IAM vazia é equivalente a um DENY padrão. A anexação de uma SCP vazia a uma conta é o equivalente a anexar uma política que negue explicitamente todas as ações.

P: Quais são as permissões efetivas, caso eu aplique uma SCP à minha organização e os meus principais também tenham políticas do IAM?

As permissões efetivas concedidas a uma entidade principal (raiz de conta, usuário do IAM e função do IAM) em uma conta da AWS com uma SCP aplicada são a interseção entre aquelas permitidas pela política de controle de acesso e as permissões concedidas ao principal pelas políticas de permissão do IAM. Por exemplo, se um usuário do IAM tiver "Allow": "ec2:* " e "Allow": "sqs:* ", e a SCP anexada à conta tiver "Allow": "ec2:* " e "Allow": "s3:* ", a permissão que resultará para o usuário do IAM será "Allow": "ec2:* ". A entidade principal não poderá executar nenhuma ação do Amazon SQS (não permitida pela política de controle de serviços) ou do S3 (não concedida pela política do IAM).

P: É possível simular o efeito de uma SCP em uma conta da AWS?

Sim. O simulador de políticas do IAM pode incluir os efeitos das SCPs. É possível usar o simulador de políticas em uma conta membro na sua organização para entender o efeito em principais individuais na conta em questão. Um administrador em uma conta membro com as permissões pertinentes do AWS Organizations poderá ver se uma SCP está interferindo no acesso dos principais (raiz de conta, usuário do IAM e função do IAM) na sua conta membro.
Para obter mais informações, consulte Políticas de controle de serviço.

P: É possível criar e gerenciar uma organização sem aplicar uma SCP?

Sim. Você decide quais políticas deseja aplicar. Por exemplo, é possível criar uma organização que utilize apenas a funcionalidade de faturamento consolidado. Ela permite que você tenha uma conta de pagante único para todas as contas na sua organização, além de receber automaticamente os benefícios da definição de preço em camadas padrão.

P: Qual é o custo do AWS Organizations?

O AWS Organizations é oferecido gratuitamente

P: Quem paga pelo uso gerado pelos usuários em uma conta membro da AWS na minha organização?

O proprietário da conta de gerenciamento é responsável pelo pagamento de todos dados, utilização e recursos consumidos pelas contas na organização.

P: A fatura refletirá a estrutura de unidades organizacionais que eu criei na minha organização?

Não. Por enquanto, a fatura não refletirá a estrutura definida na sua organização. É possível usar tags de alocação de custos em contas individuais da AWS para categorizar e monitorar os custos da AWS. Essa alocação estará visível na fatura consolidada da sua organização.

P: Por que devo ativar a integração de serviços da AWS com o AWS Organizations?

Os serviços da AWS têm uma integração com o AWS Organizations para fornecer aos clientes configuração e gerenciamento centralizados em várias contas da organização. Isso permite que você gerencie várias contas em um único lugar, simplificando a implementação e a configuração.

P: Que serviços da AWS já são integrados ao AWS Organizations?

Para ver uma lista completa de serviços integrados, consulte os serviços da AWS que você pode usar com o AWS Organizations.

P: Como habilitar a integração de serviços da AWS?

Para começar a usar um serviço integrado da AWS com o AWS Organization, navegue no Console de Gerenciamento da AWS até esse serviço e habilite a integração.