FAQ sur AWS Organizations

AWS Control Tower repose sur les services AWS tels que AWS Organizations et constitue le moyen le plus simple de configurer et de gérer un environnement AWS nouveau, à plusieurs comptes et sécurisé. Organizations établit une zone d'atterrissage, qui est un environnement multicompte Well-Architected, basé sur des plans de bonnes pratiques, et qui permet une gouvernance à l'aide des protections que vous pouvez choisir. Les protections sont des SCP et des règles AWS Config qui implémentent la gouvernance pour la sécurité et la conformité et les opérations.

AWS Control Tower offre une expérience succincte, automatisée et prescriptive, en sus d'AWS Organizations AWS. AWS Organizations est automatiquement configuré comme service AWS sous-jacent pour organiser les comptes et installer des protections en utilisant des SCP. Control Tower et Organizations fonctionnent bien ensemble. Vous pouvez utiliser Control Tower pour configurer votre environnement et installer des protections. Ensuite, à l'aide d'AWS Organizations, vous pouvez aussi créer des stratégies personnalisées (telles que la balise, la sauvegarde ou les SCP) qui contrôlent de manière centralisée l'utilisation des services et des ressources AWS sur plusieurs comptes AWS.

Les protections sont des règles de gouvernance SCP et AWS Config préintégrées pour la sécurité, les opérations et la conformité, et que les clients peuvent sélectionner et appliquer à l'échelle de l'entreprise ou à des groupes de comptes spécifiques. Une protection est exprimée en langage clair et applique une stratégie de gouvernance spécifique à votre environnement AWS qui peut être activée au sein d'une unité d'organisation (UO).

AWS Control Tower est destiné aux clients qui souhaitent créer ou gérer leur environnement AWS multicompte avec de bonnes pratiques intégrées. Il prodigue des conseils prescriptifs pour la gestion à l'échelle de votre environnement AWS, et vous permet de contrôler votre environnement sans sacrifier la vitesse et l'agilité qu'AWS offre aux concepteurs. Vous profiterez d'AWS Control Tower si vous construisez un nouvel environnement AWS, si vous commencez votre aventure sur AWS, si vous lancez une nouvelle initiative sur le cloud, si vous êtes nouveau sur AWS, ou si vous avez un environnement AWS multicompte existant.

Une organisation est un ensemble de comptes AWS que vous pouvez organiser hiérarchiquement et gérer de façon centralisée.

Un compte AWS est un conteneur pour vos ressources AWS. Vous créez et gérez vos ressources AWS dans un compte AWS et celui-ci vous offre des fonctions d'administration à des fins d'accès et de facturation.

L'utilisation de plusieurs comptes AWS est une bonne pratique pour faire évoluer votre environnement, car elle fournit une limite de facturation naturelle pour les coûts, isole les ressources nécessaires à la sécurité, donne de la flexibilité aux individus et aux équipes, en plus d'être adaptable à de nouveaux processus métier.

Un compte de gestion est le compte AWS que vous utilisez pour créer votre organisation. Depuis le compte de gestion, il est possible de créer d'autres comptes dans votre organisation, d'inviter d'autres comptes à rejoindre votre organisation, de gérer ces invitations, et de supprimer des comptes de votre organisation. Vous pouvez également associer des stratégies à différentes entités, notamment aux racines d'administration, aux unités d'organisation (UO) et aux comptes au sein de votre organisation. Le compte de gestion est le propriétaire ultime de l'organisation, ayant le contrôle final sur la sécurité, les infrastructures et les stratégies financières. Le compte joue le rôle de compte payeur et est tenu de régler tous les frais générés par les comptes de son organisation. Vous ne pouvez pas modifier le compte de gestion de votre organisation.

Un compte membre est un compte AWS qui fait partie d'une organisation sans en être le compte de gestion. Si vous êtes administrateur d'une organisation, vous pouvez créer des comptes membres au sein de l'organisation et inviter des comptes existants à rejoindre l'organisation. Vous pouvez également appliquer des politiques sur les comptes membres. Un compte membre ne peut appartenir qu'à une seule organisation à la fois.

Une racine d'administration est intégrée dans le compte de gestion, et est le point de départ qui permet d'organiser vos comptes AWS. La racine d'administration est le conteneur le plus élevé de votre hiérarchie d'organisation. Cette racine permet de créer des UO pour regrouper vos comptes de façon logique et de classer ces UO dans une hiérarchie correspondant le mieux à vos besoins.

Une unité d'organisation (UO) est un groupe de comptes AWS au sein d'une organisation. Une UO peut également contenir d'autres UO, afin de produire une hiérarchie. Par exemple, vous pouvez regrouper tous les comptes qui appartiennent au même service dans une UO de service. De même, vous pouvez regrouper tous les comptes exécutant des services de sécurité dans une UO de sécurité. Les UO sont utiles lorsque vous devez appliquer les mêmes contrôles à un sous-ensemble de comptes au sein de votre organisation. L'imbrication des UO permet d'obtenir des unités de gestion plus compactes. Par exemple, vous pouvez créer des UO pour chaque charge de travail, puis créer deux UO imbriquées dans chaque UO dans charge de travail, pour séparer les charges de travail de production de celles de préproduction. Ces UO héritent des politiques de l'UO parent en plus des contrôles attribués directement à l'UO de niveau équipe.

Une stratégie est un « document » contenant une ou plusieurs instructions, qui définissent les contrôles appliqués à un groupe de comptes AWS. AWS Organizations prend en charge les stratégies suivantes :

• Stratégies de sauvegarde – Nécessitent des AWS Backups à une cadence spécifique.
• Stratégies de balises – Définissent les balises-clés et les valeurs permises.
• Stratégies d'exclusion des services d'AI (intelligence artificielle) – Contrôlent la manière dont les services d'IA (intelligence artificielle) sauvegardent ou utilisent les contenus
• Politiques de contrôle des services (SCP) – Une SCP définit les actions de service AWS, comme Amazon EC2 RunInstances, qui peuvent être utilisées sur différents comptes au sein d'une organisation.

Toutes les entités de l'organisation sont accessibles de partout dans le monde, sauf pour les organisations gérées à partir de la Chine. Cela s'apparente au fonctionnement actuel d'AWS Identity and Access Management (IAM). Vous n'avez pas besoin de spécifier une région AWS lorsque vous créez et gérez votre organisation, mais devrez créer une organisation séparée pour les comptes utilisés en Chine. Les utilisateurs de vos comptes AWS peuvent utiliser les services AWS dans n'importe quelle région géographique dans laquelle ce service est disponible.

Non. Vous ne pouvez pas modifier le compte de gestion AWS. Par conséquent, vous devez choisir avec soin votre compte de gestion.

Utilisez l'une des deux méthodes suivantes pour ajouter un compte AWS à votre organisation :

Méthode 1 : inviter un compte existant à rejoindre votre organisation

1. Connectez-vous en tant qu'administrateur du compte de gestion et accédez à la console AWS Organizations.

2. Sélectionnez l'onglet Accounts.

3. Choisissez Add account, puis Invite account.

4. Indiquez l'adresse e-mail du compte que vous souhaitez inviter ou l'ID de compte AWS du compte.

Remarque : Vous pouvez inviter plusieurs comptes AWS en fournissant une liste d'adresses e-mail ou d'ID de comptes AWS séparés par des virgules.

Le compte AWS reçoit alors un e-mail l'invitant à rejoindre votre organisation. L'un des administrateurs du compte AWS que vous avez invité doit accepter ou refuser la demande à l'aide de la console AWS Organizations, de l'interface de ligne de commande AWS ou de l'API AWS Organizations. Si l'administrateur accepte votre invitation, ce compte devient visible dans la liste des comptes membres de votre organisation. Les stratégies en vigueur, comme les SCP, sont automatiquement appliquées dans le compte récemment ajouté. Par exemple, si une SCP est associée à la racine de votre organisation, elle sera directement appliquée dans les comptes récemment ajoutés.

Méthode 2 : créer un compte AWS dans votre organisation

1. Connectez-vous en tant qu'administrateur de votre compte de gestion et accédez à la console AWS Organizations.

2. Sélectionnez l'onglet Accounts.

3. Choisissez Add account, puis Create account.

4. Donnez un nom au compte et indiquez son adresse e-mail.

Vous pouvez également créer un compte à l'aide du kit SDK AWS ou de l'interface de ligne de commande AWS. Quelle que soit la méthode utilisée, une fois que vous avez ajouté le nouveau compte, vous pouvez le transférer vers une unité organisationnelle (UO). Le nouveau compte hérite automatiquement des politiques associées à l'UO.

Non. Un compte AWS peut uniquement être membre d'une seule organisation à la fois.

Dans le cadre de la création de compte AWS, AWS Organizations crée un rôle IAM en attribuant des autorisations d'administration complètes au nouveau compte. Les utilisateurs IAM et les rôles IAM disposant des autorisations appropriées dans le compte principal peuvent assumer ce rôle IAM pour avoir accès au compte récemment créé.

Non. Cette fonctionnalité n'est pas prise en charge pour le moment.

Oui. Cependant, vous devez d'abord supprimer le compte de votre organisation et en faire un compte autonome (voir ci-dessous). Après avoir rendu le compte autonome, il peut être invité à rejoindre une autre organisation.

Oui. Lorsque vous créez un compte dans une organisation à l'aide de la console AWS Organizations, de l'API ou des commandes CLI, AWS ne collecte pas toutes les informations requises pour les comptes autonomes. Pour chaque compte que vous souhaitez rendre autonome, vous devez mettre à jour ces informations notamment en fournissant des informations de contact, un mode de paiement valide et en choisissant une option de plan de support. AWS utilise ce moyen de paiement pour débiter les frais de toutes les activités facturables (à l'exception de celles entrant dans le cadre de l'offre gratuite AWS) qui sont exécutées sur AWS tant que le compte n'est pas associé à une organisation. Pour plus d'informations, consultezSupprimer un compte de membre de votre organisation.

Ce nombre peut varier. Si vous avez besoin de comptes supplémentaires, accédez au Centre AWS Support et créez une demande d'assistance pour demander une augmentation.

Vous pouvez supprimer un compte membre avec une des deux méthodes suivantes. Vous devrez peut-être saisir des informations supplémentaires pour supprimer un compte créé avec Organizations. En cas d'échec de la tentative de suppression de compte, accédez au Centre AWS Support et demandez une assistance pour la suppression du compte.

Méthode 1 : supprimer un compte membre invité en se connectant au compte de gestion

1. Connectez-vous en tant qu'administrateur du compte principal et accédez à la console AWS Organizations.

2. Dans le volet de gauche, choisissez Comptes.

3. Choisissez le compte que vous souhaitez supprimer, puis sélectionnez Supprimer le compte.

4. Si le compte n'est pas associé à un moyen de paiement valide, vous devez en configurer un.

Méthode 2 : supprimer un compte membre invité en se connectant au compte membre

1. Connectez-vous en tant qu'administrateur du compte membre que vous souhaitez supprimer de l'organisation.

2. Accédez à la console AWS Organizations.

3. Choisissez Quitter l'organisation*.

4. Si le compte n'est pas associé à un moyen de paiement, vous devez en configurer un.

Pour créer une UO, suivez ces étapes :

1. Connectez-vous en tant qu'administrateur du compte de gestion et accédez à la console AWS Organizations.

2. Sélectionnez l'onglet Organiser les comptes.

3. Parcourez la hiérarchie jusqu'au niveau où vous souhaitez créer l'UO. Vous pouvez la créer directement dans la racine ou au sein d'une autre UO.

4. Choisissez Créer une unité d'organisation et donnez un nom à votre UO. Le nom doit être unique au sein de votre organisation.

Remarque : Vous pouvez renommer l'UO ultérieurement.

Vous pouvez désormais ajouter des comptes AWS à votre UO. Vous pouvez également utiliser l'interface de ligne de commande AWS et les API AWS pour créer et gérer une UO.

Suivez la procédure suivante pour ajouter des comptes membres à une UO :

1. Dans la console AWS Organizations, choisissez l'onglet Organize accounts.

2. Choisissez le compte AWS, puis sélectionnez Move account.

3. Dans la boîte de dialogue, sélectionnez l'UO vers laquelle vous souhaitez transférer le compte AWS.

Vous pouvez également utiliser l'interface de ligne de commande AWS et les API AWS pour ajouter des comptes AWS à une UO.

Non. Un compte AWS peut être membre d'une seule UO à la fois.

Non. Une UO peut uniquement être membre d'une seule UO à la fois.

Vous pouvez configurer cinq niveaux d'imbrication pour vos UO. Votre hiérarchie peut être répartie sur cinq niveaux, en comptant la racine et les comptes AWS créés dans les UO les plus basses.

Vous pouvez associer une politique à la racine de votre organisation (cela s'applique à tous les comptes de votre organisation), à des unités organisationnelles (UO) individuelles (cela s'applique à tous les comptes de l'UO, y compris les UO imbriquées) ou à des comptes individuels.

Pour associer une politique, deux possibilités s'offrent à vous :

• Dans la console AWS Organizations, sélectionnez l'emplacement auquel vous souhaitez associer la stratégie (la racine, une UO ou un compte), puis choisissez Attacher la stratégie.
• Dans la console AWS Organizations, accédez à l'onglet Stratégies et choisissez l'une des deux options suivantes :
  Choisissez une stratégie existante, sélectionnez Associer une stratégie dans la liste déroulante Actions, puis définissez la racine, l'UO ou le compte auquel vous souhaitez associer la stratégie.
• Sélectionnez Créer une stratégie. Puis, dans le workflow de création de stratégie, sélectionnez la racine, l'UO ou le compte auquel vous souhaitez associer la nouvelle stratégie.

Pour plus d'informations, consultez la section intitulée Gestion des stratégies.

Oui. Par exemple, supposons que vous avez organisé vos comptes AWS dans des UO en fonction des étapes de développement de votre application : DEV, TEST et PROD. La politique P1 est associée à la racine de l'organisation, la politique P2 est associée à l'UO DEV et la politique P3 est associée au compte AWS A1 de l'UO DEV. Dans cette configuration, les politiques P1, P2 et P3 sont toutes associées au compte A1.
Pour en savoir plus, consultez À propos des politiques de contrôle des services.

AWS Organizations prend en charge les stratégies suivantes :

• Stratégies de sauvegarde – nécessitent des sauvegardes sur une cadence spécifiée à l'aide d'AWS Backup
• Stratégies de balises – Définissent les balises-clés et les valeurs permises.
• Stratégies d'exclusion des services d'IA (intelligence artificielle) – contrôlent la manière dont les services d'IA (intelligence artificielle) sauvegardent ou utilisent les contenus
• Politiques de contrôle des services (SCP) – définissent et appliquent les actions que les utilisateurs, groupes et rôles IAM peuvent effectuer dans les comptes auxquels s'appliquent les SCP.

Les politiques de contrôle des services (SCP) contrôlent les actions de service AWS accessibles aux mandataires (racine de compte, utilisateurs IAM et rôles IAM) dans les comptes de votre organisation. Une SCP doit être configurée, mais il ne s'agit pas du seul moyen de contrôle déterminant quels mandataires dans un compte peuvent utiliser des services pour autoriser d'autres mandataires à accéder à des ressources. L'autorisation effective du mandataire d'un compte auquel est associée une SCP est l'intersection entre ce qui est explicitement autorisé dans la SCP et ce qui est explicitement autorisé dans les autorisations associées au mandataire. Par exemple, si une SCP appliquée à un compte stipule que les seules actions autorisées sont les actions Amazon EC2 et que les autorisations d'un mandataire du même compte AWS autorisent les actions EC2 et Amazon S3, le mandataire peut uniquement accéder aux actions EC2.
Les mandataires d'un compte membre (y compris l'utilisateur racine du compte membre) ne peuvent ni supprimer ni modifier les SCP appliquées à ce compte.  

Les SCP suivent les mêmes règles et la même syntaxe que les stratégies IAM. Pour plus d'informations sur la syntaxe SCP, consultez la section Syntaxe SCP. Pour des exemples de SCP, consultez Exemple de politiques de contrôle des services.  

{ 

 "Version":"2012-10-17", 

 "Statement":[ 

 { 

 "Effect":"Allow", 

 "Action":["EC2:*","S3:*"], 

 "Resource":"*" 

 } 

 ] 

 }

Exemple de liste noire
La SCP suivante permet d'accéder à toutes les actions de service AWS, excepté l'action S3 PutObject. Tous les mandataires (racine de compte, utilisateur IAM et rôle IAM) qui se sont directement vu attribuer les autorisations appropriées dans un compte auquel s'applique cette SCP peuvent accéder à toutes les actions, sauf à l'action S3 PutObject. 

{ 

 "Version":"2012-10-17", 

 "Statement":[ 

 { 

 "Effect":"Allow", 

 "Action": "*:*", 

 "Resource":"*" 

 }, 

 { 

 "Effect":"Deny", 

 "Action":"S3:PutObject", 

 "Resource":"*" 

 } 

 ] 

 }

Pour d'autres exemples, consultez la section Stratégies d'utilisation des SCP.

Non. Les SCP adoptent le même comportement que les stratégies IAM : une stratégie IAM vide équivaut à un REFUS par défaut. L'association d'une SCP vide à un compte équivaut à appliquer une politique qui refuse explicitement toute action.

Les autorisations effectives accordées à un mandataire (compte racine, utilisateur IAM ou rôle IAM) dans un compte AWS associé à une SCP, correspondent à l'intersection entre ce qui est explicitement autorisé dans la SCP et ce qui est explicitement autorisé au mandataire dans les stratégies d'autorisation IAM associées. Par exemple, si un utilisateur IAM est associé aux politiques "Allow": "ec2:* " et "Allow": "sqs:* " et que la SCP associée au compte contient "Allow": "ec2:* " et "Allow": "s3:* ", l'autorisation accordée à l'utilisateur IAM est "Allow": "ec2:* ". Le mandataire ne peut pas exécuter d'actions Amazon SQS (la SCP l'interdit) ou S3 (la politique IAM ne le permet pas).

Oui. Le simulateur de stratégies IAM peut intégrer les effets de SCP. Vous pouvez utiliser le simulateur de politiques dans un compte membre de votre organisation pour comprendre l'effet de la politique sur chaque mandataire du compte. Un administrateur dans un compte membre présentant les autorisations AWS Organizations appropriées peut déterminer si une SCP régit l'accès des mandataires (compte racine, utilisateur IAM et rôle IAM) dans votre compte membre.
Pour plus d'informations, consultez Politiques de contrôle des services.

Oui. Vous décidez quelles politiques vous souhaitez appliquer. Par exemple, vous pouvez créer une organisation qui bénéficie uniquement de la fonctionnalité de facturation consolidée. Cela vous permet de disposer d'un compte payeur unique pour tous les comptes de votre organisation et de bénéficier automatiquement des avantages par défaut de la tarification progressive.

AWS Organizations est fourni sans frais supplémentaires.

Le propriétaire du compte de gestion est responsable du paiement de toutes les utilisations, données et ressources des comptes de l'organisation.

Non. Pour l'instant, votre facture ne tiendra pas compte de la structure que vous avez définie dans votre organisation. Vous pouvez utiliser les balises de répartition des coûts des comptes AWS individuels pour catégoriser et suivre vos coûts AWS. Cette répartition sera visible sur la facture consolidée de votre organisation.

Les services AWS ont été intégrés à AWS Organizations afin de fournir aux clients une gestion et une configuration centralisées pour tous les comptes de leur organisation. Cela vous permet de gérer les services de vos comptes à partir d'un endroit unique, simplifiant ainsi le déploiement et les configurations.

Pour obtenir la liste complète des services AWS intégrés à AWS Organizations, consultez la page relative aux Services AWS que vous pouvez utiliser avec AWS Organizations.

Pour commencer à utiliser un service AWS intégré à AWS Organization, accédez à la AWS Management Console de ce service et activez l'intégration.