Perguntas frequentes sobre o AWS Organizations

O AWS Control Tower, integrado a serviços da AWS como o AWS Organizations, oferece a maneira mais fácil de configurar e administrar um ambiente novo, seguro e com várias contas da AWS. Ele estabelece um destino de pouso, que é um ambiente bem arquitetado e com várias contas com base em esquemas de práticas recomendadas, e permite a governança usando proteções que você pode escolher. Proteções são SCPs e regras do AWS Config que implementam a governança para segurança, conformidade e operações.

O AWS Control Tower oferece uma experiência abstrata, automatizada e prescritiva que vai além do AWS Organizations. Ele configura automaticamente o AWS Organizations como o serviço subjacente da AWS para organizar contas e implementar proteções preventivas usando SCPs. Control Tower e o Organizations trabalham bem em conjunto. Você pode usar o Control Tower para configurar seu ambiente e definir proteções e, em seguida, usando o AWS Organizations, você pode criar políticas personalizadas (como tag, backup ou SCPs) que controlam centralmente o uso de serviços e recursos da AWS em várias contas da AWS.

Proteções são regras de governança de SCPs e do AWS Config pré-empacotadas para segurança, operações e conformidade que os clientes podem selecionar e aplicar em toda a empresa ou a grupos específicos de contas. Uma proteção é expressa em linguagem simples e aplica uma política de governança específica ao seu ambiente da AWS que pode ser habilitada em uma unidade organizacional (UO).

O AWS Control Tower é para clientes que desejam criar ou gerenciar seu ambiente da AWS com várias contas com práticas recomendadas incorporadas. Ele oferece orientação prescritiva para controlar seu ambiente da AWS em grande escala e oferece controle sobre seu ambiente sem sacrificar a velocidade e a agilidade que a AWS oferece aos criadores. Você se beneficiará com o AWS Control Tower se estiver criando um novo ambiente da AWS, iniciando sua jornada na AWS, iniciando uma nova iniciativa de nuvem, se for completamente novo na AWS ou se tiver um ambiente da AWS com várias contas existentes.

Uma organização é um conjunto de contas da AWS que pode ser organizado de maneira hierárquica com gerenciamento centralizado.

Uma conta da AWS é um contêiner para os seus recursos da AWS. Os recursos da AWS são criados e gerenciados em uma conta da AWS. Essa conta disponibiliza recursos administrativos de acesso e faturamento.

O uso de várias contas da AWS é uma prática recomendada para escalar seu ambiente, pois fornece um limite de faturamento natural para custos, isola recursos para fins de segurança, oferece flexibilidade para indivíduos e equipes, além de ser adaptável a novos processos de negócios.

Uma conta de gerenciamento é a conta da AWS usada para criar uma organização. Por meio da conta de gerenciamento, é possível criar outras contas na organização, convidar e gerenciar convites para que outras contas participem dela, além de remover contas da organização. Também é possível anexar políticas a entidades, como raízes administrativas, OUs ou contas dentro da organização. A conta de gerenciamento é o proprietário final da organização, tendo controle final sobre as políticas de segurança, infraestrutura e finanças. Essa conta de gerenciamento tem a função de uma conta de pagante e é responsável pelo pagamento de todas as cobranças acumuladas pelas contas em sua organização. Não é possível alterar qual conta na organização é a conta de gerenciamento.

Uma conta-membro é uma conta da AWS, diferente da conta de gerenciamento, que faz parte de uma organização. Se você for o administrador de uma organização, será possível criar contas membro na organização e convidar contas atuais para participar dela. Também é possível aplicar políticas a contas membro. Uma conta membro pode pertencer a apenas uma organização de cada vez.

Uma raiz administrativa está contida na conta de gerenciamento e é o ponto de partida para organizar suas contas da AWS. A raiz administrativa é o contêiner mais elevado na hierarquia da sua organização. Sob esta raiz, você poderá criar OUs para agrupar de maneira lógica suas contas e organizar essas OUs em uma hierarquia que atenda melhor às suas necessidades empresariais.

Uma UO é um grupo de contas da AWS dentro de uma organização. Uma OU também pode conter outras OUs, o que permite criar uma hierarquia. Por exemplo, é possível agrupar todas as contas pertencentes ao mesmo departamento em uma UO de departamento. Da mesma forma, você pode agrupar todas as contas executando serviços de segurança em uma UO de segurança. As UOs serão úteis quando for necessário aplicar os mesmos controles a um subconjunto de contas na organização. O aninhamento de UOs permite unidades menores de gerenciamento. Por exemplo, você pode criar UOs para cada carga de trabalho e, em seguida, criar duas UOs aninhadas em cada UO de carga de trabalho para dividir as cargas de trabalho de produção e pré-produção. Essas OUs herdam as políticas da OU principal, além de qualquer outro controle atribuído diretamente à OU a nível de equipe.

Uma política é um "documento" com uma ou mais instruções que definem os controles que você deseja aplicar a um grupo de contas da AWS. O AWS Organizations oferece suporte às seguintes políticas:

• Políticas de backup — exigem backups da AWS em uma cadência especificada
• Políticas de tag — definem chaves de tag e valores permitidos
• Políticas de exclusão de serviços de IA — controla como os serviços de IA armazenam ou usam conteúdo
• Políticas de controle de serviço (SCPs) — Uma SCP define as ações de Serviço da AWS, como RunInstances do Amazon EC2, que estão disponíveis para uso em diferentes contas dentro de uma organização.

Todas as entidades da organização são acessíveis globalmente, exceto no caso de organizações gerenciadas na China, de modo semelhante a como o AWS Identity and Access Management (IAM) funciona atualmente. Você não precisa especificar uma Região da AWS ao criar e gerenciar sua organização, mas precisará criar uma organização separada para contas usadas na China. Os usuários nas suas contas da AWS podem usar Serviços da AWS em qualquer região geográfica em que eles estiverem disponíveis.

Não. Não é possível alterar qual conta da AWS será a conta de gerenciamento. Por isso, a conta de gerenciamento deve ser selecionada com bastante cuidado.

Use um dos dois métodos a seguir para adicionar uma conta da AWS à sua organização:

Método 1: para convidar uma conta atual para participar da sua organização

1. Faça login como administrador da conta de gerenciamento e navegue até o console do AWS Organizations.

2. Selecione a guia Accounts.

3. Selecione Add account e depois a opção Invite account.

4. Informe o endereço de e-mail da conta que você deseja convidar ou o ID da conta da AWS da conta.

Observação: é possível convidar mais de uma conta da AWS, basta disponibilizar uma lista separada por vírgulas de endereços de e-mail ou IDs de conta da AWS.

A conta especificada da AWS receberá um e-mail a convidando para participar da sua organização. O administrador da conta convidada da AWS deve aceitar ou recusar a solicitação usando o console do AWS Organizations, a AWS CLI ou a API do Organizations. Se o administrador aceitar o convite, a conta poderá ser vista na lista de contas membro da organização. Qualquer política aplicável, como SCPs, serão aplicadas automaticamente na conta recém-adicionada. Por exemplo, se a organização tiver uma SCP anexada à raiz da organização, ela será aplicada diretamente nas contas recém-criadas.

Método 2: para criar uma conta da AWS na organização

1. Faça login como administrador da sua conta de gerenciamento e navegue até o console do AWS Organizations.

2. Selecione a guia Accounts.

3. Selecione Add account e depois a opção Create account.

4. Dê um nome para a conta e informe seu endereço de e-mail.

Também é possível criar uma conta ao usar o AWS SDK ou a AWS CLI. Para ambos os métodos, depois de adicionar a nova conta, você poderá transferi-la para uma OU. A nova conta herda automaticamente as políticas anexadas à OU.

Não. Uma conta da AWS só pode ser membro de uma organização de cada vez.

Como parte da criação da conta da AWS, o AWS Organizations cria uma função do IAM com permissões administrativas totais na nova conta. Os usuários e as funções do IAM com as permissões pertinentes na conta principal podem assumir esta função do IAM para obter acesso à conta recém-criada.

Não. No momento, não há suporte para isso.

Sim. No entanto, você deve antes remover a conta da organização e torná-la uma conta autônoma (veja abaixo). Depois de ser tornada autônoma, a conta poderá ser convidada para ingressar em outra organização.

Sim. Quando você cria uma conta em uma organização usando o console, a API ou os comandos da ILC do AWS Organizations, a AWS não coleta todas as informações necessárias para contas autônomas. Para cada conta que você deseja tornar autônoma, é necessário atualizar estas informações, que podem incluir: fornecer informações de contato, fornecer um método de pagamento válido e escolher uma opção de plano de suporte. A AWS usa o método de pagamento para cobrar qualquer atividade da AWS faturável (fora do nível gratuito da AWS) que ocorra enquanto a conta não estiver associada a uma organização. Para obter mais informações, consulte Remover uma conta-membro da sua organização.

Isso varia. Se precisar de contas adicionais, acesse o AWS Support Center e abra um caso de suporte para solicitar um aumento.

É possível remover uma conta de membro ao usar um dos dois métodos a seguir. Pode ser necessário disponibilizar informações adicionais para remover uma conta criada usando o Organizations. Se a tentativa de remover uma conta falhar, acesse o AWS Support Center e solicite ajuda para remover a conta.

Método 1: remova uma conta-membro convidada fazendo login na conta de gerenciamento

1. Faça login como administrador da conta principal e navegue até o console do AWS Organizations.

2. No painel esquerdo, selecione Contas.

3. Selecione a conta que deseja remover e selecione Remover conta.

4. Se a conta não tiver um método válido de pagamento, você deverá disponibilizá-lo.

Método 2: remova uma conta membro convidada ao fazer login na conta membro

1. Faça login como um administrador da conta membro que você deseja remover da organização.

2. Navegue até o console do AWS Organizations.

3. Escolha *Deixar organização*.

4. Se a conta não tiver um método de pagamento, você deverá disponibilizá-lo.

Para criar uma OU, siga as etapas abaixo:

1. Faça login como administrador da conta de gerenciamento e navegue até o console do AWS Organizations.

2. Escolha a guia Organizar contas.

3. Navegue na hierarquia em que você deseja criar a OU. É possível criá-la diretamente sob a raiz ou dentro de outra OU.

4. Escolha Criar unidade organizacional e forneça um nome para sua UO. O nome deve ser exclusivo dentro da organização.

Observação: é possível renomear a OU posteriormente.

Agora, será possível adicionar contas da AWS à OU. Também será possível usar a AWS CLI e as APIs da AWS para criar e gerenciar uma OU.

Siga estas etapas para adicionar contas membro a uma OU:

1. No console do AWS Organizations, selecione a guia Organize accounts.

2. Selecione a conta da AWS e depois a opção Move account.

3. Na caixa de diálogo, selecione a OU que deseja transferir para a conta da AWS.

Como opção, é possível usar a AWS CLI e as APIs da AWS para adicionar contas da AWS a uma OU.

Não. Uma conta da AWS só pode ser membro de uma OU de cada vez.

Não. Uma OU só pode ser membro de uma OU de cada vez.

Você poderá aninhar suas OUs em até cinco níveis. Mesmo com raiz e contas da AWS criadas na OU mais baixa, sua hierarquia pode ter cinco níveis.

É possível anexar uma política à raiz da organização (aplica-se a todas as contas da organização), às OUs individuais (aplica-se a todas as contas da OU, inclusive às OUs aninhadas), ou às contas individuais.

É possível anexar uma política escolhendo uma das duas maneiras a seguir:

• No console do AWS Organizations, navegue até o local em que você deseja atribuir a política (à OU, à raiz ou a uma conta) e depois escolha Anexar política.
• No console do Organizations, escolha a guia Políticas e selecione uma das seguintes ações:
  Escolha uma política atual, selecione Anexar política na lista suspensa Ações e selecione a UO, a raiz ou a conta à qual você deseja anexar a política.
• Escolha Criar política e, como parte do fluxo de trabalho da criação de políticas, selecione a UO, a raiz ou a conta à qual você deseja anexar a nova política.

Para obter mais informações, consulte Gerenciar políticas.

Sim. Por exemplo, vamos supor que você organizou as contas da AWS em OUs de acordo com os seus estágios de desenvolvimento de aplicações: DEV, TEST e PROD. A política P1 está anexada à raiz da organização, a política P2 está anexada à DEV OU e a política P3 está anexada à conta A1 da AWS na DEV OU. Com esta configuração, P1+P2+P3 são aplicáveis à conta A1.
Para obter mais informações, consulte Sobre políticas de controle de serviço.

Atualmente, o AWS Organizations oferece suporte às seguintes políticas:

• Políticas de backup — exigem backups em uma cadência especificada usando o AWS Backup
• Políticas de tag — definem chaves de tag e valores permitidos
• Políticas de exclusão de serviços de IA — controla como os serviços de IA armazenam ou usam o conteúdo da organização
• Políticas de controle de serviço (SCPs) definem e aplicam as ações que usuários, grupos e funções do IAM podem realizar nas contas ás quais essas políticas se aplicam

As SCPs permitem que você controle quais ações de Serviço da AWS estão acessíveis para principais (raiz de conta, usuários do IAM e funções do IAM) nas contas da sua organização. Uma SCP é exigida, mas não é o único controle que determina quais principais em uma conta podem acessar os recursos para conceder aos principais em uma conta acesso a recursos. A permissão efetiva no principal de uma conta que tenha uma SCP anexada é a interseção daquilo que é permitido explicitamente na SCP e o que é permitido explicitamente nas permissões anexadas à entidade principal. Por exemplo, se uma SCP aplicada a uma conta afirmar que as únicas ações permitidas são as ações do Amazon EC2, e as permissões em uma entidade principal na mesma conta da AWS permitirem ações do EC2 e do Amazon S3, a entidade principal poderá acessar apenas as ações do EC2.
Os principais em uma conta membro (inclusive o usuário raiz da conta membro) não poderão remover ou alterar SCPs aplicadas à conta em questão.  

As SCPs seguem as mesmas regras e gramática de políticas do IAM. Para saber mais sobre a sintaxe de SCPs, consulte SCP Syntax (Sintaxe de SCPs). Para exemplos de SCPs, consulte exemplo de políticas de controle de serviço.  

{ 

 "Version":"2012-10-17", 

 "Statement":[ 

 { 

 "Effect":"Allow", 

 "Action":["EC2:*","S3:*"], 

 "Resource":"*" 

 } 

 ) 

 }

Exemplo de lista negra
A SCP a seguir permite o acesso a todas as ações de Serviço da AWS, exceto à ação PutObject do S3. Todos os principais (raiz de conta, usuário do IAM e função do IAM) com as permissões pertinentes atribuídas a eles em uma conta com essa SCP aplicada poderão acessar qualquer ação, exceto a PutObject do S3. 

{ 

 "Version":"2012-10-17", 

 "Statement":[ 

 { 

 "Effect":"Allow", 

 "Action": "*:*", 

 "Resource":"*" 

 }, 

 { 

 "Effect":"Deny", 

 "Action":"S3:PutObject", 

 "Resource":"*" 

 } 

 ) 

 }

Para ver mais exemplos, consulte Estratégias para usar SCPs.

Não. As SCPs têm o mesmo comportamento das políticas do IAM: uma política do IAM vazia é equivalente a um DENY padrão. A anexação de uma SCP vazia a uma conta é o equivalente a anexar uma política que negue explicitamente todas as ações.

As permissões efetivas concedidas a uma entidade principal (raiz de conta, usuário do IAM e função do IAM) em uma conta da AWS com uma SCP aplicada são a interseção entre aquelas permitidas pela política de controle de acesso e as permissões concedidas ao principal pelas políticas de permissão do IAM. Por exemplo, se um usuário do IAM tiver "Allow": "ec2:* " e "Allow": "sqs:* ", e a SCP anexada à conta tiver "Allow": "ec2:* " e "Allow": "s3:* ", a permissão que resultará para o usuário do IAM será "Allow": "ec2:* ". O principal não poderá executar nenhuma ação do Amazon SQS (não permitida pela política de controle de serviços) ou do S3 (não concedida pela política do IAM).

Sim. O simulador de políticas do IAM pode incluir os efeitos das SCPs. É possível usar o simulador de políticas em uma conta membro na sua organização para entender o efeito em principais individuais na conta em questão. Um administrador em uma conta membro com as permissões pertinentes do AWS Organizations poderá ver se uma SCP está interferindo no acesso dos principais (raiz de conta, usuário do IAM e função do IAM) na sua conta membro.
Para obter mais informações, consulte Políticas de controle de serviço.

Sim. Você decide quais políticas deseja aplicar. Por exemplo, é possível criar uma organização que utilize apenas a funcionalidade de faturamento consolidado. Ela permite que você tenha uma conta de pagante único para todas as contas na sua organização, além de receber automaticamente os benefícios da definição de preço em camadas padrão.

O serviço é oferecido gratuitamente.

O proprietário da conta de gerenciamento é responsável pelo pagamento de todos dados, utilização e recursos consumidos pelas contas na organização.

Não. Por enquanto, a fatura não refletirá a estrutura definida na sua organização. É possível usar etiquetas de alocação de custos em contas individuais da AWS para categorizar e monitorar os custos da AWS. Essa alocação estará visível na fatura consolidada da sua organização.

Os serviços da AWS têm uma integração com o AWS Organizations para fornecer aos clientes configuração e gerenciamento centralizados em várias contas da organização. Isso permite que você gerencie várias contas em um único lugar, simplificando a implementação e a configuração.

Para ver uma lista completa de serviços integrados, consulte os serviços da AWS que você pode usar com o AWS Organizations.

Para começar a usar um serviço integrado da AWS com o AWS Organization, navegue no Console de Gerenciamento da AWS até esse serviço e habilite a integração.