Часто задаваемые вопросы по AWS Organizations

Вопрос. Что такое AWS Organizations?

AWS Organizations позволяет централизованно управлять собственной средой по мере изменения масштаба рабочих нагрузок в AWS. Этот сервис предоставляет программные инструменты, с помощью которых стартапы и крупные компании могут создавать новые аккаунты, распределять ресурсы, оптимизировать оплату счетов посредством настройки единого метода оплаты для всех аккаунтов, создавать группы аккаунтов и применять к ним политики, чтобы эффективно управлять рабочими процессами. Более того, AWS Organizations интегрирован с другими сервисами AWS, что дает возможность устанавливать централизованные конфигурации, механизмы безопасности и правила совместного использования ресурсов между аккаунтами организации.

Вопрос. Какие возможности централизованного управления предоставляет сервис AWS Organizations?
Сервис AWS Organizations предоставляет следующие возможности.

• Автоматизированное создание аккаунтов AWS и управление ими, предоставление ресурсов с помощью наборов AWS CloudFormation Stacksets
• Создание безопасной среды с помощью политик и функций управления, доступных в сервисах безопасности AWS
• Управление доступом к сервисам, ресурсам и регионам AWS
• Централизованное управление политиками для множества аккаунтов AWS
• Аудит среды на соответствие требованиям 
• Просмотр расходов и управление ими с помощью функции консолидированной оплаты 
• Настройка сервисов AWS в нескольких аккаунтах
  

Вопрос. В каких регионах доступен сервис AWS Organizations?

Сервис AWS Organizations доступен во всех коммерческих регионах AWS, регионах AWS GovCloud (США) и регионах Китая. Адреса сервиса AWS Organizations для коммерческих организаций находятся в регионе Восток США (Сев. Вирджиния), для организаций AWS GovCloud (Запад США) – в регионе AWS GovCloud (США), а для организаций под управлением NWCD – в регионе AWS Китай (Нинся).

Вопрос. Как начать работу с сервисом?

Чтобы начать работу, нужно сначала определить, какой из ваших аккаунтов AWS будет управляющим (ранее он назывался «основным аккаунтом»). Вы можете выбрать существующий аккаунт AWS или создать новый.

1. Войдите в Консоль управления AWS как администратор, используя аккаунт AWS, который будет основным для управления вашей организацией.
2. Перейдите в консоль AWS Organizations.
3. Выберите Создать организацию.
4. Выберите возможности, которые вы планируете активировать для организации. Предлагаются варианты использования: Все возможности или Только возможности консолидированной оплаты. Мы рекомендуем выбрать Все возможности, чтобы воспользоваться всеми функциями централизованного управления, доступными в сервисе AWS Organizations.
5. Добавьте аккаунты AWS к организации с помощью одного из двух методов. 
   1. Пригласите вступить в организацию существующий аккаунт AWS, используя его идентификационный номер или связанный с ним адрес электронной почты.
   2. Создайте новый аккаунт AWS.
6. Смоделируйте иерархическую структуру вашей организации путем группировки аккаунтов AWS в организационные единицы (OU).
7. Создайте политики (например, политики управления сервисами (SCP) или политики резервного копирования) для организационных единиц (OU), аккаунтов или организации (доступно только для организаций, для которых активированы все возможности).
8. Активируйте сервисы AWS, интегрированные с AWS Organizations.
   

Для выполнения аналогичных действий по созданию новой организации также можно использовать интерфейс командной строки AWS (для доступа из командной строки) или SDK.

Примечание. Создание новой организации можно инициировать только из аккаунта AWS, который не является членом другой организации.

Подробнее см. в разделе Начало работы с AWS Organizations.

Вопрос. Что такое AWS Control Tower?

AWS Control Tower, разработанный на основе таких сервисов AWS, как AWS Organizations, предоставляет наиболее легкий способ настройки новой и безопасной среды AWS с несколькими аккаунтами и эффективные функции управления ею. В результате вы получаете хорошо спроектированную среду для работы с несколькими аккаунтами, созданную на базе лучших рекомендаций, и различные инструменты для обеспечения безопасности, соответствия требованиям и контроля над рабочими процессами, в частности политики управления сервисами (SCP) и правила AWS Config.

Вопрос. В чем разница между AWS Control Tower и AWS Organizations?

AWS Control Tower – это упрощенный и автоматизированный сервис, который регламентирует работу AWS Organizations. Он автоматически настраивает AWS Organizations в качестве основного сервиса AWS для контроля над аккаунтами и внедряет превентивные меры и ограничения с помощью политик управления сервисами (SCP). Сервисы Control Tower и Organizations идеально совместимы между собой. Control Tower позволяет настроить среду и установить ограничения, а с помощью AWS Organizations можно создавать настраиваемые правила (например, политики управления сервисами (SCP) или правила относительно применения тегов и резервного копирования), которые централизованно контролируют использование сервисов и ресурсов AWS в нескольких аккаунтах AWS.

Вопрос. Сервис AWS Control Tower позволяет использовать ограничения. Как это работает?

Ограничения – это готовые политики управления сервисами и правила AWS Config, которые позволяют управлять безопасностью и рабочим процессом, а также обеспечивать соответствие требованиям. Пользователи могут выбирать и применять их ко всей организации или отдельным группам аккаунтов. Ограничение формулируется на обычном языке и обеспечивает использование определенного правила управления для вашей среды AWS, которое можно включить в рамках организационной единицы (OU).

В каких случаях следует использовать AWS Control Tower?

AWS Control Tower – это идеальный сервис для пользователей, которые хотят создать среду AWS с несколькими аккаунтами или управлять ею с помощью встроенных передовых методов. Он содержит инструкции по управлению средой AWS на всех уровнях и дает контроль над рабочим процессом без снижения скорости и гибкости, которые платформа AWS предоставляет разработчикам. AWS Control Tower можно использовать для реализации различных сценариев: для создания новой среды AWS или проекта в облаке, а также для работы в уже существующей среде AWS с несколькими аккаунтами. Более того, это решение подойдет и для тех, кто только начинает свое знакомство с сервисами AWS.

Вопрос. Что такое организация?

Организация – это набор аккаунтов AWS, которые можно организовать иерархически и для которых можно использовать централизованные инструменты управления.

Вопрос. Что такое аккаунт AWS?

Аккаунт AWS – это контейнер ваших ресурсов AWS. Пользователи создают ресурсы AWS и управляют ими на уровне аккаунта AWS, в котором предусмотрены возможности администрирования для обеспечения доступа и управления счетами.

Использование нескольких аккаунтов AWS – это лучший способ для оптимизации вашей среды. Это позволит ограничивать расходы естественным образом, отключать ресурсы в случае нарушения правил безопасности, предоставлять доступ отдельным пользователям и командам, а также обеспечивать совместимость с новыми технологиями и решениями.

Вопрос. Что такое управляющий аккаунт, который ранее назывался «основным»?

Управляющий аккаунт – это аккаунт AWS, используемый для создания организации. С помощью управляющего аккаунта можно создавать новые аккаунты организации, приглашать аккаунты и управлять приглашениями вступить в организацию, а также удалять аккаунты из организации. Можно также назначать политики определенным сущностям, таким как пользователи с административным доступом root, организационные единицы (OU) или аккаунты, принадлежащие к организации. Пользователь с доступом в управляющий аккаунт – это владелец организации, который полностью контролирует политики, связанные с безопасностью, работой инфраструктуры и оплатой счетов. Этот аккаунт является плательщиком и несет ответственность за оплату всех ресурсов, использованных аккаунтами организации. Роль управляющего аккаунта организации нельзя переназначить.

Вопрос. Что такое аккаунт-участник?

Аккаунт-участник – это аккаунт AWS, входящий в организацию, но не являющийся управляющим аккаунтом. Администратор организации может создавать в ней аккаунты-участники и приглашать существующие аккаунты присоединиться к ней. Он также может применять политики к аккаунтам-участникам. Аккаунт-участник может принадлежать только к одной организации.

Вопрос. Что такое административный доступ root?

Административный доступ root предоставляется пользователю управляющего аккаунта, с помощью которого он может создавать аккаунты AWS и управлять ими. Пользователь с административным доступом root – это самый верхний элемент в иерархии вашей организации. Административный доступ root позволяет логически группировать аккаунты в организационные единицы (OU) и объединять их в иерархическую структуру, соответствующую требованиям вашей компании.

Вопрос. Что такое организационная единица (OU)?

Организационная единица (OU) – это группа аккаунтов AWS в рамках организации. В OU могут также входить другие OU, что позволяет создавать иерархическую структуру. Например, можно сгруппировать все аккаунты, относящиеся к одному отделу, в OU отдела. Аналогичным образом можно объединить в группу все аккаунты, относящиеся к сервисам безопасности, в OU безопасности. OU удобно использовать тогда, когда требуется применить одни и те же параметры к некому набору аккаунтов организации. Вложенные OU дают возможность создать более мелкие единицы управления. Например, вы можете настроить OU для каждой рабочей нагрузки, а затем внутри этой структуры создать вложенные OU, чтобы распределить рабочие нагрузки на этапах подготовки и запуска. Кроме подчинения непосредственно назначенным политикам, эти OU уровня групп сотрудников наследуют политики от родительских OU.

Вопрос. Что такое политика?

Политика – это «документ», содержащий одно или более выражений, описывающих директивы, которые требуется применить к группе аккаунтов AWS. Сервис AWS Organizations поддерживает следующие политики.

• Политики резервного копирования. Они позволяют контролировать создание резервных копий с заданной частотой с помощью сервиса AWS Backup.
• Политики использования тегов. Благодаря им можно определять ключи тегов и допустимые значения.
• Политики отказа от использования сервисов с элементами искусственного интеллекта. С их помощью можно контролировать то, как эти сервисы хранят и используют контент.
• Политики управления сервисами (SCPs) позволяют определить, какие операции на уровне сервисов AWS, например RunInstances сервиса Amazon EC2, доступны для тех или иных аккаунтов в пределах организации.
  

Вопрос. Можно ли управлять организацией и определять параметры для нее с учетом регионов?

Все сущности организации доступны глобально, аналогично тому, как сейчас работает сервис AWS Identity and Access Management (IAM), за исключением организаций, которыми управляют в Китае. При создании организации и управлении ею регион AWS указывать не требуется. Однако для аккаунтов, используемых в Китае, необходимо создать отдельную организацию. Пользователи ваших аккаунтов AWS могут использовать сервисы AWS в любом географическом регионе, где доступен данный сервис.

Вопрос. Можно ли назначить другой аккаунт AWS управляющим?

Нет. Управляющий аккаунт AWS переназначить нельзя. Поэтому следует тщательно подходить к выбору управляющего аккаунта.

Вопрос. Как добавить аккаунт AWS к организации?

Добавить аккаунт AWS к организации можно с помощью одного из двух методов, указанных ниже.

Метод 1. Приглашение в организацию существующего аккаунта

1. Авторизуйтесь как администратор управляющего аккаунта и перейдите в консоль AWS Organizations.

2. Выберите вкладку «Аккаунты».

3. Выберите «Добавить аккаунт», затем – «Пригласить аккаунт».

4. Укажите адрес электронной почты приглашаемого аккаунта или его идентификатор.

Примечание. Чтобы пригласить несколько аккаунтов AWS, введите их адреса электронной почты или идентификаторы через запятую.

Указанные аккаунты AWS получат электронные письма с приглашением присоединиться к организации. Администратор приглашаемого аккаунта AWS должен принять или отклонить запрос с помощью консоли AWS Organizations, интерфейса командной строки AWS или API сервиса AWS Organizations. Если администратор принимает приглашение, аккаунт становится видимым в списке аккаунтов-участников вашей организации. Любые соответствующие политики, такие как SCP, будут применены к добавленному аккаунту автоматически. Например, если в организации есть SCP, назначенная на уровне root организации, она будет применена напрямую ко всем создаваемым аккаунтам.

Метод 2. Создание нового аккаунта AWS в организации

1. Авторизуйтесь как администратор управляющего аккаунта и перейдите в консоль AWS Organizations.

2. Выберите вкладку «Аккаунты».

3. Выберите «Добавить аккаунт», затем – «Создать аккаунт».

4. Введите имя и адрес электронной почты для нового аккаунта.

Аккаунт можно также создать с помощью AWS SDK или командной строки AWS. При использовании любого из методов добавленный аккаунт можно переместить в организационную единицу (OU). Новый аккаунт автоматически наследует все политики, назначенные на уровне OU.

Вопрос. Может ли аккаунт AWS принадлежать к нескольким организациям одновременно?

Нет. Аккаунт AWS может принадлежать только к одной организации.

Вопрос. Как осуществляется доступ к аккаунту AWS, созданному в организации?

При создании нового аккаунта AWS сервис AWS Organizations создает роль IAM с полным набором прав администратора для этого аккаунта. Пользователи и роли IAM управляющего аккаунта, имеющие соответствующие разрешения, могут использовать эту роль IAM для доступа к созданному аккаунту.

Вопрос. Можно ли программно настроить Multi-Factor Authentication (MFA) для аккаунта AWS, созданного в организации?

Нет. Такая возможность в настоящее время отсутствует.

Вопрос. Можно ли переместить аккаунт AWS из организации, где он был создан с помощью AWS Organizations, в другую?

Да. Однако сначала необходимо удалить аккаунт из организации и сделать его независимым (см. ниже). После этого независимый аккаунт можно пригласить присоединиться к другой организации.

Вопрос. Можно ли удалить из организации аккаунт AWS, созданный с помощью AWS Organizations, и сделать его независимым?

Да. При создании аккаунта в рамках организации с использованием консоли AWS Organizations, API или команд CLI AWS не собирает все данные, необходимые для создания независимого аккаунта. Чтобы сделать аккаунт независимым, необходимо указать контактную информацию, согласиться с Пользовательским соглашением AWS, предоставить действительный метод оплаты и выбрать план AWS Support. AWS использует предоставленный способ оплаты для взимания средств за любую платную (то есть выходящую за пределы уровня бесплатного пользования AWS) активность аккаунта, не связанного с организацией. Дополнительную информацию см. в разделе Удаление аккаунта-участника из организации.

Вопрос. Сколько аккаунтов AWS может принадлежать к организации?

Возможны различные варианты. Если вам требуются дополнительные аккаунты, перейдите в Центр AWS Support и подайте заявку на увеличение лимита.

Вопрос. Как удалить из организации аккаунт-участник?

Аккаунт-участник можно удалить, используя один из описанных далее методов. Чтобы удалить аккаунт, созданный с помощью AWS Organizations, возможно, придется предоставить дополнительную информацию. Если попытка удалить аккаунт не удалась, перейдите в Центр AWS Support и обратитесь за помощью в удалении аккаунта.

Метод 1. Удаление аккаунта-участника от имени управляющего аккаунта

1. Авторизуйтесь как администратор управляющего аккаунта и перейдите в консоль AWS Organizations.

2. На панели слева выберите Аккаунты.

3. Выберите аккаунт, который требуется удалить, и щелкните Удалить аккаунт.

4. Если для аккаунта не добавлен действительный метод оплаты, его потребуется указать.

Метод 2. Удаление аккаунта-участника от его имени

1. Авторизуйтесь как администратор аккаунта-участника, который требуется удалить из организации.

2. Перейдите в консоль AWS Organizations.

3. Выберите «Покинуть организацию».

4. Если для аккаунта не указан метод оплаты, его потребуется указать.

Вопрос. Как создать организационную единицу (OU)?

Чтобы создать OU, выполните следующие действия.

1. Авторизуйтесь как администратор управляющего аккаунта и перейдите в консоль AWS Organizations.

2. Выберите вкладку Систематизировать аккаунты.

3. Перемещайтесь по иерархической структуре до места, где нужно создать OU. Ее можно создать прямо на корневом уровне или внутри другой OU.

4. Выберите Создать организационную единицу и укажите имя для OU. Имя должно быть уникальным в пределах организации.

Примечание. Позднее OU можно будет переименовать.

Теперь можно добавлять аккаунты AWS в созданную OU. Для создания OU и управления ими также можно использовать интерфейс командной строки и API AWS.

Вопрос. Как добавить аккаунт-участника AWS в OU?

Чтобы добавить аккаунт-участника в OU, выполните следующие действия.

1. В консоли AWS Organizations выберите вкладку «Систематизировать аккаунты».

2. Выберите аккаунт AWS и нажмите «Переместить аккаунт».

3. В диалоговом окне выберите OU, в которую требуется переместить выбранный аккаунт AWS.

Кроме того, для добавления аккаунтов AWS в OU можно использовать интерфейс командной строки или API AWS.

Вопрос. Может ли один аккаунт AWS одновременно принадлежать к разным OU?

Нет. Один аккаунт AWS может принадлежать только к одной OU.

Вопрос. Может ли OU одновременно принадлежать к нескольким OU?

Нет. OU может принадлежать только к одной OU.

Вопрос. Сколько уровней может быть в иерархии OU?

Максимальный уровень вложений OU равен пяти. Если считать корневой уровень и аккаунты AWS, созданные в самой нижней OU, в вашей иерархии может быть пять уровней.

Вопрос. На каких уровнях организации можно применять политики?

Политики можно применить на уровне root организации (действует для всех аккаунтов организации), на уровне отдельной организационной единицы (действует для всех аккаунтов данной OU, включая вложенные OU) или на уровне отдельных аккаунтов.

Вопрос. Как назначить политику?

Назначить политику можно одним из двух способов.

• В консоли AWS Organizations выберите объект, которому требуется назначить политику (root, OU или конкретный аккаунт), затем нажмите Назначить политику.
• На консоли AWS Organizations перейдите на вкладку Политики и выполните одно из следующих действий.
  Выберите существующую политику, затем нажмите на пункт Назначить политику в раскрывающемся списке Действия и выберите root, OU или аккаунт, которым требуется назначить политику.
• Нажмите Создать политику и в процессе создания выберите root, OU или аккаунт, которым требуется назначить новую политику.

Подробнее см. в разделе Управление политиками.

Вопрос. Наследуются ли политики через иерархические связи в организации?

Да. Предположим, аккаунты AWS сгруппированы в несколько OU в соответствии с этапами разработки приложений: DEV, TEST и PROD. Политика P1 назначена на уровне root организации, политика P2 назначена на уровне OU DEV, а политика P3 назначена аккаунту AWS A1, входящему в OU DEV. В этом случае к аккаунту A1 применяются все три политики: P1, P2, и P3.
Подробнее см. в разделе О политиках управления сервисами.

Вопрос. Какие типы политик поддерживает сервис AWS Organizations?

На данный момент сервис AWS Organizations поддерживает следующие политики.

• Политики резервного копирования. Они позволяют контролировать создание резервных копий с заданной частотой с помощью сервиса AWS Backup.
• Политики использования тегов. Благодаря им можно определять ключи тегов и допустимые значения.
• Политики отказа от использования сервисов с элементами искусственного интеллекта. С их помощью можно контролировать то, как эти сервисы хранят и используют контент организации.
• Политики управления сервисами (SCP) позволяют определить и контролировать операции, разрешенные для пользователей, групп и ролей IAM в аккаунтах, где применяются SCP.

Вопрос. Что такое политики управления сервисами (SCP)?

Политики управления сервисами (SCP) позволяют определить, какие операции сервисов AWS доступны основным сущностям (таким как аккаунт с правами root, пользователь IAM и роль IAM) в аккаунтах организации. SCP является необходимым, но не единственными средством управления, определяющим, к каким ресурсам могут иметь доступ основные сущности аккаунта. Фактические разрешения для основных сущностей аккаунта, к которому применена SCP, являются пересечением множества разрешений, явно заданных этой политикой, и множества разрешений, явно назначенных данной основной сущности. Например, если примененная к аккаунту SCP допускает только операции сервиса Amazon EC2, а разрешения основной сущности этого же аккаунта AWS допускают операции сервисов EC2 и Amazon S3, то у основной сущности будет доступ только к операциям сервиса EC2.
Кроме того, основные сущности аккаунта-участника (включая пользователя с правами root аккаунта-участника) не могут удалять или изменять примененные к аккаунту SCP.  

Вопрос. Как выглядит структура SCP?

SCP следуют тем же правилам и используют тот же синтаксис, что и политики IAM. Дополнительную информацию о синтаксисе SCP см. в разделе Синтаксис SCP. Примеры SCP см. в разделе Примеры политик управления сервисами.  

{ 

 "Version":"2012-10-17", 

 "Statement":[ 

 { 

 "Effect":"Allow", 

 "Action":["EC2:*","S3:*"], 

 "Resource":"*" 

 } 

 ] 

 }

Пример черного списка
Следующая SCP предоставляет доступ ко всем операциям сервисов AWS, кроме операции PutObject сервиса S3. Все основные сущности (аккаунт с правами root, пользователь IAM и роль IAM) с соответствующими, непосредственно им назначенными разрешениями на уровне аккаунта, с применением этой SCP будут иметь доступ к любым операциям, кроме операции PutObject сервиса S3. 

{ 

 "Version":"2012-10-17", 

 "Statement":[ 

 { 

 "Effect":"Allow", 

 "Action": "*:*", 

 "Resource":"*" 

 }, 

 { 

 "Effect":"Deny", 

 "Action":"S3:PutObject", 

 "Resource":"*" 

 } 

 ] 

 }

Другие примеры см. в разделе Стратегии использования SCP.

Вопрос. Если аккаунту AWS назначена пустая SCP, значит ли это, что в данном аккаунте AWS разрешены все операции сервисов AWS?

Нет. SCP действуют точно так же, как и политики IAM, а пустая политика IAM эквивалентна отказу по умолчанию. Применение к аккаунту пустой SCP равнозначно назначению политики, явно запрещающей все операции.

Вопрос. Какими будут фактические разрешения, если применить SCP к организации, основным сущностям которой уже назначены политики IAM?

Фактические разрешения для основных сущностей аккаунта (таких как аккаунт с правами root, пользователь IAM и роль IAM) аккаунта AWS, к которому применена SCP, являются пересечением множества разрешений, заданных этой политикой, и множества разрешений, назначенных основным сущностям разрешениями политик IAM. Например, если для пользователя IAM указано "Allow": "ec2:* " и "Allow": "sqs:* ", а в SCP, назначенной аккаунту, указано "Allow": "ec2:* " и "Allow": "s3:* ", результирующее разрешение для пользователя IAM будет "Allow": "ec2:* ". Основная сущность не сможет выполнять никаких операций сервиса Amazon SQS (нет разрешения SCP) или сервиса S3 (не разрешены политикой IAM).

Вопрос. Можно ли смоделировать результат действия SCP на уровне аккаунта AWS?

Да, симулятор политик IAM может смоделировать и результат действий SCP. Можно использовать симулятор политик в аккаунте-участнике организации, чтобы увидеть влияние политики на отдельные основные сущности аккаунта. Администратор аккаунта-участника с соответствующими разрешениями AWS Organizations может видеть, влияет ли SCP на доступ основных сущностей (аккаунт root, пользователь IAM и роль IAM) в аккаунте-участнике.
Подробнее см. в разделе Политики управления сервисами.

Вопрос. Можно ли создать организацию и управлять ею, не используя SCP?

Да. Набор политик для использования определяется пользователем. Например, можно создать организацию, в которой будут использоваться только возможности консолидированной оплаты. Это позволяет использовать единый аккаунт-плательщик для всех аккаунтов организации и автоматически получать преимущества по умолчанию, связанные с уровнями цен.

Вопрос. Сколько стоит использование сервиса AWS Organizations?

Дополнительная плата за использование сервиса AWS Organizations не взимается.

Вопрос. Кто отвечает за оплату расходов аккаунтов AWS, входящих в организацию?

За оплату сервисов, ресурсов, а также перемещение и хранение данных в аккаунтах организации, отвечает владелец управляющего аккаунта.

Вопрос. Отображается ли в счетах структура организационных единиц (OU), созданная в организации?

Нет. В настоящий момент в счете не отображается структура, заданная для организации. Для категоризации и отслеживания затрат на ресурсы AWS можно использовать теги для распределения расходов отдельных аккаунтов AWS. Это распределение будет отображено в консолидированном счете организации.

Вопрос. Зачем включать интеграцию сервиса AWS с AWS Organizations?

Сервисы AWS интегрированы с AWS Organizations для централизованного управления и настройки в разных аккаунтах организации. Это позволяет централизованно управлять сервисами в разных аккаунтах, что упрощает развертывание и конфигурацию.

Вопрос. Какие сервисы AWS в настоящий момент интегрированы с AWS Organizations?

Полный список сервисов AWS, интегрированных с AWS Organizations, см. в разделе Сервисы AWS, которые можно использовать с AWS Organizations.

Вопрос. Как включить интеграцию с сервисом AWS?

Чтобы начать использовать сервис AWS, интегрированный с AWS Organization, включите интеграцию для этого сервиса в Консоли управления AWS.