AWS Organizations - Guia do usuário...cinco níveis, fornecendo flexibilidade para estruturar seus grupos de contas. Controle sobre os serviços da AWS e as ações da API que cada

AWS OrganizationsGuia do usuário

AWS Organizations Guia do usuário

AWS Organizations: Guia do usuárioCopyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

As marcas comerciais e o visual comercial da Amazon não podem ser usados em conexão com nenhum produtoou serviço que não seja da Amazon, nem de qualquer maneira que possa causar confusão entre os clientes ou quedeprecie ou desacredite a Amazon. Todas as outras marcas comerciais que não pertencem à Amazon pertencem aseus respectivos proprietários, que podem ou não ser afiliados, conectados ou patrocinados pela Amazon.


Table of ContentsO que é AWS Organizations? .............................................................................................................. 1

Recursos de AWS Organizations .................................................................................................. 1Definição AWS Organizations ....................................................................................................... 3Acesso a AWS Organizations ....................................................................................................... 3Support e comentários para o AWS Organizations .......................................................................... 4

Outros recursos da AWS ..................................................................................................... 4Conceitos básicos de AWS Organizations .............................................................................................. 5

Saiba mais sobre... ..................................................................................................................... 5Terminologia e conceitos do AWS Organizations ............................................................................. 5

Tutoriais .......................................................................................................................................... 10Tutorial: Criar e configurar uma organização ................................................................................. 10

Prerequisites .................................................................................................................... 11Etapa 1: Crie sua organização ............................................................................................ 11Etapa 2: Criar as unidades organizacionais .......................................................................... 13Etapa 3: Criar as políticas de controle de serviço .................................................................. 15Etapa 4: Testar as políticas da sua organização .................................................................... 18

Tutorial: Monitorar com CloudWatch Events .................................................................................. 19Prerequisites .................................................................................................................... 20Etapa 1: Configurar um seletor de eventos e trilhas ............................................................... 20Etapa 2: Configurar uma função do Lambda ......................................................................... 21Etapa 3: Crie um tópico do Amazon SNS que envia e-mails aos assinantes ............................... 22Etapa 4: Criar uma regra do CloudWatch Events ................................................................... 22Etapa 5: Teste sua regra do CloudWatch Events ................................................................... 23Limpar: Remover os recursos que não são mais necessários .................................................. 24

Melhores práticas para AWS Organizations .......................................................................................... 26Melhores práticas para a conta de gerenciamento ......................................................................... 26

Use a conta de gerenciamento somente para tarefas querequireA conta de gerenciamento ........... 26Usar um endereço de e-mail de grupo para o usuário raiz da conta de gerenciamento ................. 27Use uma senha complexa para a conta de gerenciamentoUsuário raiz ...................................... 27Habilite a MFA para oUsuário raizcredenciais ....................................................................... 27Adicionar um número de telefone às informações de contato da conta ...................................... 28Revise e acompanhe quem tem acesso .............................................................................. 28Documentar os processos para usar as credenciais do usuário raiz .......................................... 29Aplicar controles para monitorar o acesso às credenciais do usuário raiz ................................... 30

Melhores práticas para contas de membros .................................................................................. 30Usar um endereço de e-mail de grupo para todos os usuários raiz de conta de membro ............... 30Usar uma senha complexa para a conta de membroUsuário raiz .............................................. 30Habilite a MFA para oUsuário raizcredenciais ....................................................................... 31Adicione o número de telefone da conta de gerenciamento às informações de contato da contado membro ...................................................................................................................... 32Revise e acompanhe quem tem acesso .............................................................................. 32Documentar os processos para usar as credenciais do usuário raiz .......................................... 32Use um SCP para restringir o que o usuário raiz em suas contas de membro pode fazer .............. 33Aplicar controles para monitorar o acesso às credenciais do usuário raiz ................................... 34

Criar e gerenciar uma organização ...................................................................................................... 35Criar uma organização .............................................................................................................. 35

Criar uma organização ...................................................................................................... 35Verificação do endereço de e-mail ...................................................................................... 37

Habilitar todos os recursos ......................................................................................................... 38Antes de habilitar todos os recursos .................................................................................... 38Iniciar processo para habilitar todos os recursos .................................................................... 39Aprovar solicitação para habilitar todos os recursos ou recriar a função vinculada ao serviço ......... 41Finalizar o processo para habilitar todos os recursos .............................................................. 43

Visualizar detalhes da organização .............................................................................................. 45

iii


Visualizar os detalhes de uma organização na conta de gerenciamento ..................................... 45Visualização dos detalhes da raiz ....................................................................................... 46Visualizar os detalhes de uma UO ...................................................................................... 47Visualizar detalhes de uma conta ........................................................................................ 49Visualizar detalhes de uma política ...................................................................................... 50

Excluir a organização ................................................................................................................ 51Gerenciar contas .............................................................................................................................. 54

Impacto de estar em uma organização ........................................................................................ 54Impacto em uma conta da AWS que ingressa em uma organização? ........................................ 54Impacto sobre uma conta da AWS criada por você em uma organização? ................................. 55

Convidar uma conta para a sua organização ................................................................................ 55Enviar convites para contas da AWS ................................................................................... 56Gerenciar convites pendentes para a sua organização ........................................................... 58Aceitar ou rejeitar um convite de uma organização ................................................................ 62

Criar uma conta do ................................................................................................................... 64Criar uma conta da AWS que seja parte de sua organização ................................................... 65

Acessar contas-membro ............................................................................................................. 67Acessar a conta-membro como usuário-raiz .......................................................................... 68Criar OrganizationAccountAccessRole na conta-membro convidada .......................................... 68Acessar a conta-membro que tem função de acesso de conta de gerenciamento ........................ 70

Remover uma conta-membro ...................................................................................................... 71Antes de remover uma conta de uma organização ................................................................. 72Remover uma conta-membro de sua organização .................................................................. 73Deixar uma organização como uma conta-membro ................................................................ 74

Fechar uma conta da ................................................................................................................ 76Gerenciar UOs ................................................................................................................................. 79

Navegando pela árvore .............................................................................................................. 79Criação de uma UO .................................................................................................................. 80Renomeação de uma UO .......................................................................................................... 82Marcar uma UO ........................................................................................................................ 83Movendo uma UO .................................................................................................................... 84Excluir uma UO ........................................................................................................................ 85

Gerenciamento de políticas do ............................................................................................................ 87Tipos de políticas ...................................................................................................................... 87

Políticas de autorização ..................................................................................................... 87Políticas de gerenciamento ................................................................................................ 87

Usar políticas na organização ..................................................................................................... 88Habilitar e desabilitar tipos de política .......................................................................................... 88

Habilitar um tipo de política ................................................................................................ 88Desabilitar um tipo de política ............................................................................................. 89

Obter detalhes da política .......................................................................................................... 90Listar todas as políticas ..................................................................................................... 90Listando políticas anexadas ................................................................................................ 91Listando todos os anexos .................................................................................................. 92Obter detalhes sobre uma política ....................................................................................... 94

Noções básicas sobre herança das políticas ................................................................................. 95Herança para políticas de controle de serviço ....................................................................... 95Sintaxe e e e herança das políticas para tipos de política de gerenciamento ............................... 98

Políticas de controle de serviço ................................................................................................. 108Políticas de controle de serviço (SCPs) .............................................................................. 108Criar, atualizar e excluir ................................................................................................... 111Anexar e desanexar ........................................................................................................ 119Estratégias de uso de SCPs ............................................................................................. 121Sintaxe da SCP .............................................................................................................. 124Exemplo de SCPs ........................................................................................................... 130

Políticas de exclusão de serviços de IA ...................................................................................... 141Conceitos básicos ........................................................................................................... 142

iv


Criar, atualizar e excluir ................................................................................................... 142Como anexar e desanexar ............................................................................................... 148Exibindo políticas eficazes de exclusão de serviços de IA ..................................................... 151Sintaxe e exemplos de política de exclusão de serviços de IA ................................................ 152

Políticas de backup ................................................................................................................. 156Conceitos básicos ........................................................................................................... 158Pré-requisitos e permissões .............................................................................................. 158Práticas recomendadas .................................................................................................... 159Criação, atualização e exclusão ........................................................................................ 161Como anexar e desanexar ............................................................................................... 168Como visualizar políticas de backup efetivas ....................................................................... 171Sintaxe e exemplos de políticas de backup ......................................................................... 173

Políticas de tag ....................................................................................................................... 191O que são tags? ............................................................................................................. 191O que são políticas de tag? .............................................................................................. 191Pré-requisitos e permissões .............................................................................................. 192Práticas recomendadas .................................................................................................... 193Conceitos básicos ........................................................................................................... 194Visualizar políticas de tag efetivas ..................................................................................... 207Usar o CloudWatch Events para monitorar tags não compatíveis ............................................ 209Noções básicas sobre a aplicação ..................................................................................... 209Sintaxe e exemplos de políticas de tag .............................................................................. 218Regiões compatíveis ........................................................................................................ 222

Marcar recursos do ......................................................................................................................... 224Usar tags ............................................................................................................................... 224Adição, atualização e remoção de tags ...................................................................................... 225

Adicionar tags a um recurso quando você o cria .................................................................. 225Adicionar ou atualizar tags para um recurso existente ........................................................... 225

Usar outros serviços da AWS ........................................................................................................... 227Permissões necessárias para habilitar o acesso confiável ............................................................. 228Permissões necessárias para desabilitar o acesso confiável .......................................................... 228Como habilitar ou desabilitar o acesso confiável .......................................................................... 229AWS Organizations e funções vinculadas ao serviço .................................................................... 231Serviços que funcionam com Organizations ................................................................................ 232

AWS Artifact ................................................................................................................... 249AWS Audit Manager ........................................................................................................ 252AWS Backup .................................................................................................................. 255AWS CloudFormation StackSets ........................................................................................ 256AWS CloudTrail .............................................................................................................. 259AWS Compute Optimizer .................................................................................................. 261AWS Config ................................................................................................................... 263AWS Directory Service ..................................................................................................... 266AWS Firewall Manager .................................................................................................... 267Amazon GuardDuty ......................................................................................................... 270Integridade da AWS ........................................................................................................ 272AWS License Manager .................................................................................................... 275Amazon Macie ................................................................................................................ 277AWS Marketplace ............................................................................................................ 279AWS Resource Access Manager ....................................................................................... 281AWS Security Hub .......................................................................................................... 284Amazon S3 Storage Lens ................................................................................................. 285AWS Service Catalog ...................................................................................................... 288Service Quotas ............................................................................................................... 291AWS Single Sign-On ....................................................................................................... 292AWS Systems Manager ................................................................................................... 294Políticas de tag ............................................................................................................... 298AWS Trusted Advisor ...................................................................................................... 299

v


Segurança ...................................................................................................................................... 302IAM e Organizations ................................................................................................................ 302

Authentication ................................................................................................................. 303Controle de acesso ......................................................................................................... 304Gerenciar permissões de acesso para sua organização da AWS ............................................ 304Usar políticas baseadas em identidade (políticas do IAM) para organizações da AWSOrganizations ................................................................................................................. 310Controle de acesso com base em atributos com tags ........................................................... 312

Registro em log e monitoramento .............................................................................................. 316Registrar em log as chamadas de API de AWS Organizations Cloud ....................................... 316Amazon CloudWatch Events ............................................................................................. 322

Validação de conformidade ....................................................................................................... 322Resiliência .............................................................................................................................. 323Segurança da infraestrutura ...................................................................................................... 323

Referência AWS Organizations ......................................................................................................... 324Cotas para AWS Organizations ................................................................................................. 324

Diretrizes de nomenclatura ............................................................................................... 324Valores máximo e mínimo ................................................................................................ 324

Políticas gerenciadas ............................................................................................................... 326Políticas de controle de serviço gerenciadas pelo AWS Organizations ..................................... 326

AWS Organizations ......................................................................................................................... 328Solução de problemas gerais .................................................................................................... 328

Eu recebo uma mensagem de “acesso negado” quando faço uma solicitação para AWSOrganizations AWS ......................................................................................................... 328Eu recebo uma mensagem de "acesso negado" quando faço uma solicitação com credenciais desegurança temporárias ..................................................................................................... 329Eu recebo uma mensagem de “acesso negado” quando tento deixar uma organização comouma conta de associado ou remover uma conta de associado, como a conta de gerenciamentodo ................................................................................................................................. 329Recebo uma mensagem "cota excedida" ao tentar adicionar uma conta à minha organização ...... 329Recebi uma mensagem "esta operação exige um período de espera" ao adicionar ou removercontas ........................................................................................................................... 330Recebo uma mensagem "a organização ainda está sendo inicializada" ao tentar adicionar umaconta à minha organização ............................................................................................... 330Recebo uma mensagem "Invitations are disabled" (Os convites estão desabilitados) quandotento convidar uma conta para a minha organização. ........................................................... 330As alterações que eu faço nem sempre ficam imediatamente visíveis ...................................... 330

Solução de problemas de políticas do ........................................................................................ 331Políticas de controle de serviço ......................................................................................... 331

Fazer solicitações de consulta HTTP ................................................................................................. 334Endpoints ............................................................................................................................... 334HTTPS obrigatório ................................................................................................................... 334Assinatura de solicitações de API de organizações ...................................................................... 335

Histórico do documento .................................................................................................................... 336Glossário da AWS ........................................................................................................................... 342................................................................................................................................................. cccxliii

vi

AWS Organizations Guia do usuárioRecursos de AWS Organizations

O que é AWS Organizations?AWS Organizations é um serviço de gerenciamento de contas que permite consolidar várias contasda AWS em umorganizaçãoque você cria e gerencia centralmente. As AWS Organizations incluem osrecursos de gerenciamento de contas e de faturamento consolidado, que permitem que você atendamelhor às necessidades orçamentárias, de segurança e de conformidade do seu negócio. Como umadministrador de uma organização, você pode criar contas em sua organização e convidar contasexistentes a participarem da organização.

Este guia do usuário definePrincipais conceitos da AWS Organizations, forneceTutoriais do, e explicacomocriar e gerenciar uma organização.

Tópicos• Recursos de AWS Organizations (p. 1)• Definição AWS Organizations (p. 3)• Acesso a AWS Organizations (p. 3)• Support e comentários para o AWS Organizations (p. 4)

Recursos de AWS OrganizationsAs AWS Organizations oferecem os seguintes recursos:

Gerenciamento centralizado de todas as suas contas da AWS

Você pode combinar suas contas existentes em uma organização que permite gerenciar as contas deforma centralizada. Você pode criar contas que automaticamente façam parte de sua organização econvidar outras contas para ingressar nela. Você também pode anexar políticas que afetam algumasou todas as suas contas.

Faturamento consolidado para todas as contas de membros

Faturamento consolidado é um recurso das AWS Organizations. Você pode usar a conta degerenciamento da organização para consolidar e pagar todas as contas dos membros. No faturamentoconsolidado, as contas de gerenciamento também podem acessar as informações de faturamento,informações da conta e atividades das contas-membro em sua organização. Essas informaçõespodem ser usadas em serviços como o Cost Explorer, que podem ajudar as contas de gerenciamentoa melhorar o desempenho de custos da sua organização.

Agrupamento hierárquico de suas contas para atender às necessidades de orçamento, segurança ouconformidade

Você pode agrupar suas contas em organizational units (UOs – unidades organizacionais) e anexardiferentes políticas de acesso para cada UO. Por exemplo, se você tiver contas que devam acessarapenas os serviços da AWS que atendem a certos requisitos normativos, pode colocar as contas emuma OU. Em seguida, pode anexar uma política para essa UO que bloqueie o acesso a serviços quenão atendam a esses requisitos normativos. Você pode aninhar UOs com outras UOs, chegando até acinco níveis, fornecendo flexibilidade para estruturar seus grupos de contas.

Políticas para centralizar o controle sobre os serviços da AWS e as ações da API que cada conta podeacessar

Como um administrador da conta de gerenciamento de uma organização, você pode usar políticas decontrole de serviço (SCPs - service control policies) para especificar o máximo de permissões para

1

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.htmlhttps://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials.htmlhttps://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html

AWS Organizations Guia do usuárioRecursos de AWS Organizations

contas-membro na organização. Nos SCPs, você pode restringir quais serviços da AWS, recursos eações individuais de API podem ser acessados por cada usuário e função. Você também pode definircondições para quando o acesso aos serviços, recursos e ações de API da AWS deve ser restringido.Essas restrições substituem até mesmo os administradores de contas-membro da organização.Quando o AWS Organizations bloqueia o acesso de uma conta-membro a um serviço, recurso ouação, um usuário ou função dessa conta não poderá acessá-lo. Esse bloco permanece em vigormesmo que o administrador de uma conta-membro conceda explicitamente essas permissões em umapolítica do IAM.

Para obter mais informações, consulte Políticas de controle de serviço (p. 108).Políticas para padronizar tags entre recursos nas contas da organização

Você pode usar políticas de tag para manter tags consistentes, incluindo o tratamento preferencial demaiúsculas e minúsculas de chaves e valores de tag.

Para obter mais informações, consulte Políticas de tag (p. 191)Políticas para controlar como a inteligência artificial (IA) da AWS e os serviços de aprendizado de máquinapodem coletar e armazenar dados.

Você pode usar políticas de desativação de serviços de IA para desativar a coleta e o armazenamentode dados para qualquer um dos serviços de IA da AWS que você não deseja usar.

Para obter mais informações, consulte Políticas de exclusão de serviços de IA (p. 141)Políticas que configuram backups automáticos para os recursos nas contas da organização

Você pode usar políticas de backup para configurar e aplicar automaticamente os planos do AWSBackup aos recursos em todas as contas da sua organização.

Para obter mais informações, consulte Políticas de backup (p. 156)Integração e suporte para AWS Identity and Access Management (IAM)

IAMO fornece controle granular sobre usuários e funções em contas individuais. As AWSOrganizations expandem esse controle ao nível da conta dando a você controle sobre o que osusuários e as funções de uma conta ou grupo de contas podem fazer. As permissões resultantes sãoa interseção lógica de o que é permitido pelas AWS Organizations no nível da conta e as permissõesque são explicitamente concedidas pelo IAM no nível de usuário ou função dentro dessa conta.Em outras palavras, o usuário pode acessar apenas o que é permitido peloAmbosas políticas deAWS Organizations e políticas do IAM. Se uma delas bloquear uma operação, o usuário não poderáacessá-la.

Integração com outros serviços da AWS

É possível utilizar os serviços de gerenciamento de várias contas disponíveis nas AWS Organizationscom serviços da AWS selecionados da para executar tarefas em todas as contas que são membrosda uma organização. Para obter uma lista dos serviços e os benefícios de usar cada serviçoem nível de toda a organização, consulte Serviços da AWS que podem ser usados com o AWSOrganizations (p. 232).

Quando você habilita um serviço da AWS para executar tarefas em seu nome nas contas-membroda organização, o AWS Organizations cria umFunção vinculada ao serviço do IAMPara esse serviçoem cada conta-membro. A função vinculada ao serviço tem permissões predefinidas do IAM quepermitem que outros serviços da AWS executem tarefas específicas em sua organização e suascontas. Para que isso funcione, todas as contas em uma organização têm automaticamente umafunção vinculada ao serviço. Essa função permite que o serviço AWS Organizations crie as funçõesvinculadas ao serviço exigidas pelos serviços da AWS para os quais você permite acesso confiável.Essas funções vinculadas ao serviço adicional são anexadas às políticas de permissão do IAM quepermitem que o serviço especificado execute apenas as tarefas que são exigidas pelas suas opçõesde configuração. Para obter mais informações, consulte Usar o AWS Organizations com outrosserviços da AWS (p. 227).

2

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.htmlhttp://aws.amazon.com/blogs/security/introducing-an-easier-way-to-delegate-permissions-to-aws-services-service-linked-roles/https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html?icmpid=docs_iam_console#iam-term-service-linked-role

AWS Organizations Guia do usuárioDefinição AWS Organizations

Acesso global

A AWS Organizations é um serviço global com um único endpoint que funciona de todas as regiões daAWS. Não é necessário selecionar explicitamente uma região na qual operar.

A replicação de dados que é por fim consistente

As AWS Organizations, como muitos outros serviços da AWS, sãoeventualmente consistente. As AWSOrganizations atingem alta disponibilidade replicando dados entre vários servidores nos datacentersda AWS nesta Região. Se uma solicitação para alterar alguns dados for bem-sucedida, a alteraçãoestará comprometida e armazenada com segurança. No entanto, a alteração deve ser replicada emvários servidores. Para obter mais informações, consulte As alterações que eu faço nem sempre ficamimediatamente visíveis (p. 330).

Uso gratuito

O AWS Organizations é um recurso da conta da AWS oferecido gratuitamente. Você será cobradosomente quando acessar outros serviços da AWS a partir das contas em sua organização. Para obterinformações sobre a definição de preço de outros produtos da AWS, consultePágina de preços daAmazon Web Services.

Definição AWS OrganizationsAs AWS Organizations são oferecidas gratuitamente. Você será cobrado apenas pelos recursos da AWSque os usuários e as funções nas suas contas de membro usarem. Por exemplo, de você são cobradasas tarifas padrão para as instâncias do Amazon EC2 usadas pelos usuários ou pelas funções nas contasdos seus membros. Para obter informações sobre a definição de preço de outros serviços da AWS,consulteDefinir preço da AWS.

Acesso a AWS OrganizationsVocê pode trabalhar com o AWS Organizations de qualquer uma das seguintes formas:

Console de gerenciamento da AWS

O console AWS OrganizationsO é uma interface baseada em navegador que você pode usar paragerenciar sua organização e seus recursos da AWS. Você pode executar qualquer tarefa da suaorganização usando o console.

Ferramentas de linha de comando da AWS

Com as ferramentas de linha de comando da AWS, você pode emitir comandos na linha de comandode seu sistema para realizar tarefas do AWS Organizations e tarefas da AWS. Usar a linha decomando pode ser mais rápido e mais conveniente do que o console. As ferramentas da linha decomando também são úteis se você quiser criar scripts que realizem tarefas da AWS.

A AWS fornece dois conjuntos de ferramentas de linha de comando:• Interface de linha de comando da AWS(CLI DA AWS). Para obter informações sobre a instalação e

o uso da CLI da AWS, consulteGuia do usuário da AWS Command Line.• AWS Tools para Windows PowerShell. Para obter informações sobre a instalação e o uso da Tools

for Windows PowerShell, consulteGuia do usuário do AWS Tools for Windows PowerShell.SDKs da AWS

O SDKs da AWS consistem em bibliotecas e código de exemplo de várias linguagens de programaçãoe plataformas (como Java, Python, Ruby,.NET, iOS e Android). Os SDKs processam tarefas como

3

https://wikipedia.org/wiki/Eventual_consistencyhttp://aws.amazon.com/pricing/http://aws.amazon.com/pricing/http://aws.amazon.com/pricing/services/https://console.aws.amazon.com/organizations/http://aws.amazon.com/cli/https://docs.aws.amazon.com/cli/latest/userguide/http://aws.amazon.com/powershell/https://docs.aws.amazon.com/powershell/latest/userguide/

AWS Organizations Guia do usuárioSupport e comentários para o AWS Organizations

assinatura criptográfica de solicitações, gerenciamento de erros e novas tentativas automáticas desolicitações. Para obter mais informações sobre os SDKs da AWS, incluindo como baixá-los e instalá-los, consulte Ferramentas da Amazon Web Services.

API de consulta HTTPS de AWS Organizations

A API de consulta HTTPS do AWS Organizations proporciona acesso programático às AWSOrganizations e à AWS. A API de consulta HTTPS permite que você execute solicitações HTTPSdiretamente para o serviço. Quando você usa a API HTTPS, deve incluir código para assinardigitalmente solicitações usando suas credenciais. Para obter mais informações, consulteChamada daAPI por meio de solicitações de consulta HTTPO e aReferência da API de AWS Organizations.

Support e comentários para o AWS OrganizationsOs seus comentários são bem-vindos. Envie seus comentários [email protected]. Você também pode publicar seus comentários e perguntas noFórumde suporte de AWS Organizations. Para obter mais informações sobre os fóruns do AWS Support,consulteAjuda dos fóruns.

Outros recursos da AWS

• Cursos e treinamento da AWS – Links para cursos de especialidades e com base em função, bem comolaboratórios autoguiados para ajudar a aprimorar suas habilidades da AWS e obter experiência prática.

• Ferramentas do desenvolvedor da AWS— Links para ferramentas de desenvolvedor e recursos quefornecem documentação, exemplos de código, notas de versão e outras informações para ajudá-lo acriar aplicativos inovadores com a AWS.

• AWS Support Center— o hub para criar e gerenciar seus casos do AWS Support. Também inclui linkspara outros recursos úteis, por exemplo, fóruns, perguntas técnicas frequentes, status de saúde doserviço e AWS Trusted Advisor.

• AWS Support— a principal página da web para obter informações sobre o AWS Support, um canal desuporte de resposta rápida e com atendimento individual para ajudar a criar e a executar aplicativos nanuvem.

• Entre em contato conosco – Um ponto central de contato para consultas relativas a faturamento, conta,eventos, abuso e outros problemas da AWS.

• Termos do site da AWS – Informações detalhadas sobre nossos direitos autorais e marca registrada; suaconta, licença e acesso ao site, entre outros tópicos.

4

http://aws.amazon.com/tools/#sdkhttps://docs.aws.amazon.com/organizations/latest/userguide/orgs_query-requests.htmlhttps://docs.aws.amazon.com/organizations/latest/userguide/orgs_query-requests.htmlhttps://docs.aws.amazon.com/organizations/latest/APIReference/mailto:[email protected]:[email protected]://forums.aws.amazon.com/forum.jspa?forumID=219http://forums.aws.amazon.com/forum.jspa?forumID=219http://forums.aws.amazon.com/help.jspahttp://aws.amazon.com/training/course-descriptions/http://aws.amazon.com/developertools/https://console.aws.amazon.com/support/home#/http://aws.amazon.com/premiumsupport/http://aws.amazon.com/contact-us/http://aws.amazon.com/terms/

AWS Organizations Guia do usuárioSaiba mais sobre...

Conceitos básicos de AWSOrganizations

Os tópicos a seguir oferecem informações para ajudá-lo a começar a aprender e usar as AWSOrganizations.

Saiba mais sobre...Terminologia e conceitos do AWS Organizations (p. 5)

Conheça a terminologia e os principais conceitos necessários para compreender as AWSOrganizations. Esta seção descreve cada um dos componentes de uma organização e os conceitosbásicos de como eles funcionam em conjunto para fornecer um novo nível de controle sobre o que osusuários dessas contas podem fazer.

Faturamento consolidado para organizações

Um dos principais recursos sobre AWS Organizations é a consolidação do faturamento de todasas contas na sua organização. Saiba mais sobre como o faturamento será manipulado em umaorganização e como vários descontos funcionam quando compartilhados entre várias contas. Esseconteúdo encontra-se noGuia AWS usuário de Billing and Cost Management da.

Terminologia e conceitos do AWS OrganizationsPara ajudá-lo a começar a usar o AWS Organizations, este tópico explica alguns dos conceitos-chave.

O diagrama a seguir mostra uma organização básica que consiste em sete contas que estão organizadasem quatro unidades organizacionais (UOs) na raiz. A organização também tem várias políticas que sãoanexadas a algumas das UOs ou diretamente a contas. Para obter uma descrição de cada um dessesitens, consulte as definições neste tópico.

5

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html

AWS Organizations Guia do usuárioTerminologia e conceitos do AWS Organizations

A empresa

Uma entidade que você cria para consolidar sua AWSContas (p. 6)Para que você possaadministrá-los como uma unidade única. Você pode usar oConsole de AWS OrganizationsParavisualizar e gerenciar centralmente todas as suas contas dentro da sua organização. Umaorganização tem uma conta de gerenciamento e zero ou mais contas-membro. Você pode organizaras contas em uma estrutura em árvore hierárquica, com uma raiz (p. 6) na parte superior eunidades organizacionais (p. 6) aninhadas na raiz. Cada conta pode estar diretamente na raizou ser colocada em uma das UOs na hierarquia. Uma organização tem a funcionalidade que édeterminada pelo conjunto de recursos (p. 7) que você ativar.

Raiz

O contêiner pai de todas as contas da sua organização. Se você aplicar uma política à raiz, ela seráaplicada a todas as unidades organizacionais (UOs) (p. 6) e contas (p. 6) na organização.

Note

No momento, você pode ter apenas uma raiz. As AWS Organizations criam a raizautomaticamente para você quando uma organização é criada.

Unidade organizacional (UO)

Um contêiner para contas (p. 6) em uma raiz (p. 6). Uma UO também pode conter outrasUOs, permitindo que você crie uma hierarquia parecida com uma árvore de cabeça para baixo, com araiz na parte superior e ramificações de UOs que se propagam para níveis inferiores, terminando emcontas que são as folhas da árvore. Quando você anexa uma política a um dos nós na hierarquia, eleé propagado e afeta todas as ramificações (UOs) e folhas (contas) nos níveis inferiores. Uma UO podeter exatamente um pai, e, atualmente, cada conta pode ser um membro de exatamente uma UO.

Conta

Uma conta padrão da AWS que contém seus recursos da AWS. Você pode anexar uma política a umaconta para aplicar controles a apenas uma única conta.

Há dois tipos de contas em uma organização: uma única conta designada como a conta degerenciamento e contas-membro.

6

https://console.aws.amazon.com/organizations/


• OConta de gerenciamento doÉ a conta que você usa para criar a organização. Na conta degerenciamento da organização, é possível fazer o seguinte:• Criar contas na organização• Convidar outras contas existentes para a organização• Remover contas da organização• Gerenciar convites• Aplicar políticas a entidades (raízes, UOs ou contas) dentro da organização• Habilite a integração com serviços suportados da AWS para fornecer funcionalidade de serviço

em todas as contas da organização.

A conta de gestão tem as responsabilidades de umConta do paganteE é responsável pelopagamento de todas as cobranças que são acumuladas pelas contas-membro. Não é possívelalterar a conta de gerenciamento de uma organização.

• O restante das contas que pertencem a uma organização são chamadas de contas-membro. Umaconta da só pode ser membro de uma organização de cada vez.

Convite

O processo para pedir que outra conta (p. 6) se inscreva na sua organização (p. 6). Umconvite só pode ser emitido pela conta de gerenciamento da organização. O convite é estendido parao ID da conta ou para o endereço de e-mail associado à conta convidada. Após a conta convidadaaceitar um convite, ela se torna uma conta-membro na organização. Os convites também podem serenviados a todas as contas-membro atuais quando a organização precisa que todos os membrosaprovem a alteração de oferecer suporte apenas a recursos de faturamento consolidado (p. 8)para oferecer suporte a todos os recursos (p. 7) na organização. Os convites funcionam com atroca de handshakes (p. 7) das contas. Talvez você não veja handshakes quando trabalha noconsole do AWS Organizations. Mas se você usar a AWS CLI ou a AWS Organizations API, deverátrabalhar diretamente com handshakes.

Handshake

Um processo de várias etapas de troca de informações entre duas partes. Um de seus usos principaisnas AWS Organizations é servir como a implementação subjacente doinvitations (p. 7). Asmensagens de handshake são transmitidas entre o iniciador de handshake e o destinatário erespondidas por eles. As mensagens são transmitidas de uma forma que ajuda a garantir que ambasas partes saibam qual é o status atual. Handshakes também são usados ao alterar a organizaçãode oferecer suporte apenas para ofaturamento consolidado (p. 8)Recursos do suporte doTodosos recursos do (p. 7)que as AWS Organizations oferecem. Você geralmente precisará interagirdiretamente com handshakes somente se trabalhar com a AWS Organizations API ou ferramentas delinha de comando, como a AWS CLI.

Conjuntos de recursos disponíveis•

Todos os recursos doO conjunto de recursos padrão que está disponível para o AWS Organizations.Inclui toda a funcionalidade do faturamento consolidado, além de recursos avançados que oferecemmaior controle sobre as contas em sua organização. Por exemplo, quando todos os recursos estãohabilitados pela conta de gerenciamento da organização tem controle total sobre o que as contas-membro podem fazer. A conta de gerenciamento pode aplicarSCPs (p. 108)Para restringir osserviços e ações que os usuários (incluindo o usuário raiz) e funções em uma conta podem acessar.A conta de gerenciamento também pode impedir que contas-membro saiam da organização.Vocêtambém pode habilitar a integração com serviços de suporte da AWS para permitir que essesserviços forneçam funcionalidade em todas as contas da sua organização.

Você pode criar uma organização com todos os recursos já habilitados, ou pode habilitar todosos recursos em uma organização que originalmente oferecia suporte apenas aos recursos defaturamento consolidado. Para ativar todos os recursos, todas as contas-membro convidadasdevem aprovar a alteração aceitando o convite que é enviado quando a conta de gerenciamentoinicia o processo.

7


•faturamento consolidadoEsse conjunto de recursos fornece funcionalidade de faturamentocompartilhado, mas onãoincluem os recursos mais avançados das AWS Organizations. Porexemplo, você não pode permitir que outros serviços da AWS se integrem com sua organizaçãopara trabalhar em todas as suas contas,Ou usar políticas para restringir o que usuários e funçõesem contas diferentes podem fazer. Para usar os recursos avançados do AWS Organizations, vocêdeve ativar oTodos os recursos do (p. 7)Em sua organização.

Política de controle de serviço (SCP - service control policy)

Uma política que especifica os serviços e as ações que os usuários e as funções podem usar nascontas que o SCP (p. 108) afeta. As SCPs são semelhantes às políticas de permissão do IAM,com a exceção de que não concedem permissões. Em vez disso, as SCPs especificam o máximode permissões para uma organização, unidade organizacional (UO) ou conta. Quando você anexauma SCP à sua organização raiz ou a uma UO, a SCP limita as permissões a entidades em contas-membro.

Listas de permissões versus listas de negações

Listas de permissões e listas de negações são estratégias complementares que você pode usar paraaplicar SCPs (p. 108) para filtrar as permissões disponíveis para as contas.•

Estratégia de lista de permissõesVocê especifica explicitamente o acesso que oéPermitido. Todosos outros acessos são bloqueados implicitamente. Por padrão, as AWS Organizations anexamuma política gerenciada da AWS chamadaFullAWSAccessPara todas as raízes, UOs e contas.Isso ajuda a garantir que, à medida que você criar sua organização, nada seja bloqueado atéquando necessário. Em outras palavras, por padrão, todas as permissões são concedidas. Quandovocê estiver pronto para restringir permissões, substitua a política FullAWSAccess por uma quepermita apenas o conjunto de permissões desejado e mais limitado. Os usuários e funções nascontas afetadas podem exercer apenas esse nível de acesso, mesmo que as políticas do IAMcorrespondentes permitam todas as ações. Se substituir a política padrão na raiz, todas as contasna organização serão afetadas pelas restrições. Não é possível adicionar as permissões de voltaem um nível inferior na hierarquia porque uma SCP nunca concede permissões; ela apenas as filtra.

•Estratégia de lista de negarVocê especifica explicitamente o acesso que onão éPermitido. Todos osoutros acessos são permitidos. Nesse cenário, todas as permissões são permitidas, a menos queexplicitamente bloqueadas. Esse é o comportamento padrão das AWS Organizations. Por padrão,as AWS Organizations anexam uma política gerenciada da AWS chamadaFullAWSAccessParatodas as raízes, UOs e contas. Isso permite que qualquer conta acesse qualquer serviço ouoperação sem nenhuma organização da AWS Organizations — imposta pelo. Ao contrário datécnica de lista de permissões descrita acima, ao usar listas de negação, você deixa a políticaFullAWSAccess padrão no lugar (que permite “todos”). Mas, em seguida, você anexa políticasadicionais que negam explicitamente o acesso aos serviços e ações indesejados. Assim como comas políticas de permissão do IAM, uma negação explícita de uma ação de serviço substitui qualquerpermissão dessa ação.

Política de exclusão de serviços de inteligência artificial (IA)

Um tipo de política que ajuda a padronizar suas configurações de exclusão para serviços de IAda AWS em todas as contas em sua organização. Determinados serviços de IA da AWS podemarmazenar e usar o conteúdo do cliente processado por esses serviços para o desenvolvimento ea melhoria contínua dos serviços e tecnologias da Amazon AI. Como cliente da AWS, você podeusarPolíticas de desativação do serviço de IA (p. 141)para optar por não ter o seu conteúdoarmazenado ou utilizado para melhorias no serviço.

Política de backup do

Um tipo de política que ajuda a padronizar e implementar uma estratégia de backup para os recursosem todas as contas da sua organização. Em umPolítica de backup do (p. 156), você pode configurare implantar planos de backup para seus recursos.

8


Política de tag

Um tipo de política que ajuda a padronizar tags entre recursos em todas as contas da suaorganização. Em uma política de tag (p. 191), você pode especificar regras de atribuição de tagspara recursos específicos.

9

AWS Organizations Guia do usuárioTutorial: Criar e configurar uma organização

Tutoriais de AWS OrganizationsUse os tutoriais nesta seção para saber como executar tarefas usando as AWS Organizations.

Tutorial: Criar e configurar uma organização (p. 10)

Comece a trabalhar com instruções passo a passo para criar sua organização, convidar suasprimeiras contas-membro criar uma hierarquia de UO que contenha suas contas , além de aplicaralgumas Políticas de controle de serviço (SCPs).

Tutorial: Monitorar alterações importantes em sua organização com o CloudWatch Events (p. 19)

Monitore as principais alterações em sua organização configurando o Amazon CloudWatch Eventspara acionar um alarme em forma de e-mail, mensagem de texto SMS ou entrada de registro quandoas ações que você designar ocorrerem em sua organização. Por exemplo, muitas organizaçõesquerem saber quando uma nova conta é criada ou quando uma conta tenta deixar a organização.

Tutorial: Criar e configurar uma organizaçãoNeste tutorial, você cria sua organização e configurá-lo com duas contas-membro da AWS. Você cria umadas contas-membro em sua organização e convida outras contas para a inscrição da sua organização.Depois, use oLista de permissões (p. 8)Para especificar que os administradores podem delegar apenasos serviços e ações listados explicitamente. Isso permite que os administradores validem qualquer novoserviço apresentado pela AWS antes de permitir o seu uso por outra pessoa em sua empresa. Dessaforma, se a AWS apresentar um novo serviço, ele permanecerá proibido até que um administradoradicione o serviço à lista de permissões na política adequada. O tutorial também mostra como usarumLista de negação (p. 8)Para garantir que nenhum usuário em uma conta-membro possa alterar aconfiguração dos logs de auditoria criados pelo AWS CloudTrail.

A seguinte ilustração mostra as etapas principais do tutorial.

10

AWS Organizations Guia do usuárioPrerequisites

Etapa 1: Crie sua organização (p. 11)

Nesta etapa, você cria uma organização com sua conta da AWS atual como a conta degerenciamento. Você também pode convidar uma conta da AWS para participar da sua organização ecriar uma segunda conta como uma conta-membro.

Etapa 2: Criar as unidades organizacionais (p. 13)

Em seguida, você cria duas unidades organizacionais (UOs) na sua nova organização e coloca aconta-membro nestas UOs.

Etapa 3: Criar as políticas de controle de serviço (p. 15)

É possível aplicar restrições às ações que podem ser delegadas para usuários e funções nas contas-membro usando políticas de controle de serviço (SCPs) (p. 108). Nesta etapa, você cria duas SCPse anexa-as às UOs de sua organização.

Etapa 4: Testar as políticas da sua organização (p. 18)

Você pode fazer login como usuários de cada uma das contas de teste e ver os efeitos que as SCPstêm sobre as contas.

Nenhuma das etapas deste tutorial incorrem em custos para sua conta da AWS. O AWS Organizations éum serviço gratuito.

PrerequisitesEste tutorial pressupõe que você tem acesso a duas contas da AWS existente (você cria uma terceiracomo parte deste tutorial), e assim pode efetuar login em cada um como um administrador.

O tutorial refere-se às contas como o seguinte:

• 111111111111— a conta que você usa para criar a organização. Esta conta torna-sea conta de gerenciamento. O proprietário desta conta tem um endereço de e-mail [email protected].

• 222222222222— Uma conta que você irá convidar para participar da organização como uma conta-membro. O proprietário desta conta tem um endereço de e-mail do [email protected].

• 333333333333— uma conta que você cria como um membro da organização. O proprietário destaconta tem um endereço de e-mail do [email protected].

Substitua os valores acima pelos valores associados às suas contas de teste. Recomendamos não usarcontas de produção para este tutorial.

Etapa 1: Crie sua organizaçãoNesta etapa, você entra na conta 111111111111 como administrador, cria uma organização com essaconta como a conta de gerenciamento e convida uma conta existente, 222222222222, para participarcomo uma conta-membro.

AWS Management Console

1. Faça login na AWS como administrador da conta 111111111111 e abra oConsole das AWSOrganizations.

2. Na página de introdução, escolhaCriar uma organização.3. Na caixa de diálogo de confirmação, escolhaCriar uma organização.

11

https://console.aws.amazon.com/organizations/v2https://console.aws.amazon.com/organizations/v2

AWS Organizations Guia do usuárioEtapa 1: Crie sua organização

Note

Por padrão, a organização é criada com todos os recursos habilitados. Você tambémpode criar a organização apenas com recursos de faturamento consolidado (p. 8)habilitados.

A AWS cria a organização e mostra oContas da AWS. Se você estiver em uma página diferente,escolhaContas da AWSNo painel de navegação à esquerda.

Se a conta que você usa nunca teve seu endereço de e-mail verificado pela AWS, um e-mail de verificação é enviado automaticamente para o endereço associado à sua conta degerenciamento. Talvez haja um atraso até você receber o e-mail de verificação.

4. Verifique o endereço de e-mail em 24 horas. Para obter mais informações, consulte Verificaçãodo endereço de e-mail (p. 37).

Você agora tem uma organização que tem sua conta como o único membro. Esta é a conta de gestão daorganização.

Convide uma conta atual para participar da sua organizaçãoAgora que você tem uma organização, você pode começar a preenchê-la com contas. Nas etapas nestaseção, você convida uma conta existente para participar e se tornar um membro da sua organização.


Para convidar uma conta existente para participar

1. Navegue até o .Contas da AWSe escolhaAdicionar uma conta da AWS.2. NoAdicionar uma conta da AWS, selecioneConvidar uma conta da AWS existente.3. Na caixaEndereço de e-mail ou ID da conta de uma conta da AWS para convidarDigite o

endereço de e-mail do proprietário da conta que você deseja convidar, semelhante ao seguinte:[email protected]. Como alternativa, se você souber o número de ID da conta da AWS,poderá inseri-lo.

4. Digite o texto que você deseja na caixaMensagem a ser incluída na mensagem de e-mail doconvite(Criar snapshot final?). Esse texto é incluído no e-mail que é enviado para o proprietário daconta.

5. Selecione Send invitation (Enviar convite). O AWS Organizations envia o convite para oproprietário da conta.

Important

Se você receber um erro que indica que excedeu seus limites de conta para aorganização ou que não pode adicionar uma conta porque sua organização ainda estáinicializando, aguarde uma hora depois de criar a organização e tente novamente. Se oerro persistir, entre em contato com oAWS Support.

6. Para os fins deste tutorial, você agora precisa aceitar seu próprio convite. Execute uma dasseguintes ações para acessar a página Convites no console:

• Abra o e-mail enviado pela AWS da conta de gerenciamento e clique no link para aceitar oconvite. Quando solicitado a fazer login, faça isso como um administrador na conta-membroconvidada.

• Abrir oConsole das AWS Organizationse navegue até o.Convites.7. NoContas da AWS, selecioneAceitare, depois, escolhaConfirme.8. Saia da sua conta-membro e faça login novamente como um administrador na sua conta de

gerenciamento.

12

https://console.aws.amazon.com/organizations/v2/home/accountshttps://console.aws.amazon.com/organizations/v2/home/accountshttps://console.aws.amazon.com/organizations/v2/home/accounts/add/createhttps://console.aws.amazon.com/support/home#/https://console.aws.amazon.com/organizations/v2https://console.aws.amazon.com/organizations/v2/home/accounts/invitationshttps://console.aws.amazon.com/organizations/v2/home/accounts

AWS Organizations Guia do usuárioEtapa 2: Criar as unidades organizacionais

Crie uma conta-membroNas etapas nesta seção, você cria uma conta da AWS que é automaticamente um membro daorganização. Referimos a esta conta no tutorial como 3333333333.


Para criar uma conta-membro

1. No console do AWS Organizations, noContas da AWS, selecioneAdicionar conta da AWS.2. NoAdicionar uma conta da AWS, selecioneCriar uma conta da AWS.3. para oNome da conta da AWSDigite um nome para a conta, comoMainApp Account.4. para oEndereço de e-mail do usuário raiz da conta, digite o endereço de e-mail do usuário que

está para receber comunicações em nome da conta. Esse valor deve ser exclusivo globalmente.Não é possível que duas contas tenham o mesmo endereço de e-mail. Por exemplo, convém usaralgo como [email protected].

5. Para Nome da função do IAM, você pode deixar isso em branco para usar automaticamente onome da função padrão do OrganizationAccountAccessRole ou você pode fornecer o seupróprio nome. Essa função permite acessar a nova conta-membro quando conectado como umusuário do IAM na conta de gerenciamento. Para este tutorial, deixe em branco para instruir asAWS Organizations a criar a função com o nome padrão.

6. SelecioneCriar conta da AWS. Você pode precisar esperar um pouco e atualizar a página paraver se a nova conta aparece na guiaContas da AWS.

Important

Se você receber um erro que indica que excedeu seus limites de conta para aorganização ou que não pode adicionar uma conta porque sua organização ainda estáinicializando, aguarde uma hora depois de criar a organização e tente novamente. Se oerro persistir, entre em contato com oAWS Support.

Etapa 2: Criar as unidades organizacionaisNas etapas desta seção, você cria unidades organizacionais (UOs) e coloca suas contas-membro. Quandoterminar, sua hierarquia será semelhante à ilustração a seguir. A conta de gerenciamento permanece naraiz. Uma conta-membro é movida para a UO de produção e a outra é movida para a UO MainApp, que éum filho de produção.

13

https://console.aws.amazon.com/organizations/v2/home/accountshttps://console.aws.amazon.com/organizations/v2/home/accounts/add/createhttps://console.aws.amazon.com/organizations/v2/home/accountshttps://console.aws.amazon.com/support/home#/

AWS Organizations Guia do usuárioEtapa 2: Criar as unidades organizacionais


Para criar e preencher as UOs

Note

Nas etapas a seguir, você interage com objetos para os quais pode escolher o nome dopróprio objeto ou o botão de opção ao lado do objeto.

• Se você escolher o nome do objeto, abra uma nova página que exibe os detalhes dosobjetos.

• Se você escolher o botão de opção ao lado do objeto, estará identificando esse objeto paraser atuado por outra ação, como escolher uma opção de menu.

As etapas a seguir fazem com que você escolha o botão de opção para que você possa agirsobre o objeto associado fazendo escolhas de menu.

1. NoConsole das AWS OrganizationsNavegue até o.Contas da AWS.2. Certifique-se de que o comutadorExibir somente contas da AWSé giradoDesativado .3. Selecione oRaizcontêiner (o botão de opção , não seu nome).4. SelecioneAçõese, emUnidade organizacional, escolhaCriar.5. NoCriar unidade organizacional no Raiz, para oNome da unidade organizacional,

insiraProductione, depois, escolhaCriar unidade organizacional.

14

https://console.aws.amazon.com/organizations/v2https://console.aws.amazon.com/organizations/v2/home/accounts

AWS Organizations Guia do usuárioEtapa 3: Criar as políticas de controle de serviço

6. Escolha oProduçãoOU (o botão de opção , não seu nome).7. SelecioneAçõese, emUnidade organizacional, escolhaCriar.8. NoCriar unidade organizacional em ProduçãoPara o nome da segunda UO, digiteMainAppe,

depois, escolhaCriar unidade organizacional.

Agora você pode mover suas contas-membro para essas UOs.9. Retorne para oContas da AWSe, em seguida, expanda a árvore sob o seuProduçãoOU

escolhendo o triângulo ao lado dele.

Isso exibe oMainAppUO como filho deProdução.10. Selecione a conta de membro que você acabou de convidar, 222222222222 (o botão de opção ,

não seu nome), escolhaAçõese, emConta da AWS, escolhaMover.11. NoMove a conta da AWS 'nome-conta do membro', selecioneProdução(o botão de opção ,

não o seu nome) e, em seguida, escolhaMover conta da AWS.12. Escolha a segunda conta-membro, 3333333333, (o botão de seleção , não seu nome),

escolhaAçõese, emConta da AWS, escolhaMover.13. NoMove a conta da AWS 'nome-conta do membro', o triângulo ao lado deProduçãopara

expandir essa ramificação e exporMainApp.14. SelecioneMainApp(o botão de opção , não o seu nome) e, em seguida, sobConta da AWS,

escolhaMover conta da AWS.

Etapa 3: Criar as políticas de controle de serviçoNas etapas desta seção, você cria três políticas de controle de serviço (SCPs) (p. 108) e anexa-as àraiz e às UOs para restringir o que os usuários podem fazer nas contas da organização. O primeira SCPimpede que qualquer pessoa em qualquer uma das contas-membro de criar ou modificar quaisquer logs doAWS CloudTrail que você configurar. A conta de gerenciamento não é afetada por qualquer SCP, portanto,depois de aplicar a SCP do CloudTrail, você deve criar todos os logs da conta de gerenciamento.

Ative o tipo de política de controle de serviço para a organizaçãoPara poder anexar uma política de qualquer tipo a uma raiz ou a qualquer UO em uma raiz, você deveativar o tipo de política para a organização. Por padrão, os tipos de política não são habilitados. As etapasnesta seção mostram como habilitar o tipo de política de controle de serviço (SCP) para sua organização.


Para habilitar SCPs para sua organização

1. Navegue até o .Políticase, em seguida, escolhaPolíticas de controle de serviço.2. NoPolíticas de controle de serviço, selecioneAtive políticas de controle de serviço.

Um banner verde aparece para informá-lo de que agora você pode criar SCPs em suaorganização.

Create SCPsAgora que as políticas de controle de serviço estão habilitadas em sua organização, você pode criar astrês políticas necessárias para este tutorial.

15

https://console.aws.amazon.com/organizations/v2/home/accountshttps://console.aws.amazon.com/organizations/v2/home/policieshttps://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy



Para criar o primeira SCP que bloqueia as ações de configuração do CloudTrail

1. Navegue até o .Políticase, em seguida, escolhaPolíticas de controle de serviço.2. Na página Service control policies (Políticas de controle de serviço), escolha Create policy (Criar

política).

Note

No momento, o editor de políticas de controle de serviço está disponível apenas naversão original do console de AWS Organizations. Ao concluir as edições, você retornaráautomaticamente à nova versão do console.

3. Em Nome da política, insira Block CloudTrail Configuration Actions.4. NoPolíticaNa lista de serviços à esquerda, selecione CloudTrail

para o serviço. Em seguida, escolha as seguintes ações:AddTags,CreateTrail,DeleteTrail,RemoveTags,StartLogging,StopLogging, eUpdateTrail.

5. Ainda no painel esquerdo, selecioneAdicionar recursoe especifiqueCloudTraileTodos os recursos.Escolha Add resource (Adicionar recurso).

A instrução de política à direita é atualizada para ser semelhante ao seguinte.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1234567890123", "Effect": "Deny", "Action": [ "cloudtrail:AddTags", "cloudtrail:CreateTrail", "cloudtrail:DeleteTrail", "cloudtrail:RemoveTags", "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": [ "*" ] } ]}

6. Escolha Create policy (Criar política).

A segunda política define uma lista de permissões (p. 8) de todos os serviços e ações que você desejahabilitar para usuários e funções na UO de produção. Depois de você concluir, os usuários na UO deprodução poderão acessar apenas os serviços e ações listados.


Como criar a segunda política que permite serviços aprovados para a UO de produção

1. DoPolíticas de controle de serviço, selecioneCriar política.2. Em Nome da política, insira Allow List for All Approved Services.3. Posicione o cursor no painel à direita da seção Policy (Política) e cole uma política como a

seguinte.

16

https://console.aws.amazon.com/organizations/v2/home/policieshttps://console.aws.amazon.com/organizations/v2/home/policies/service-control-policyhttps://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy


{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1111111111111", "Effect": "Allow", "Action": [ "ec2:*", "elasticloadbalancing:*", "codecommit:*", "cloudtrail:*", "codedeploy:*" ], "Resource": [ "*" ] } ]}

4. Escolha Create policy (Criar política).

A política final fornece uma lista de negações (p. 8) de serviços que são bloqueados para uso na UOMainApp. Para este tutorial, você bloqueia o acesso ao Amazon DynamoDB em qualquer conta que estánaMainAppUO.


Como criar a terceira política que nega o acesso a serviços que não podem ser usados na UOMainApp

1. DoPolíticas de controle de serviço, selecioneCriar política.2. Em Nome da política, insira Deny List for MainApp Prohibited Services.3. NoPolíticaÀ esquerda, selecioneAmazon DynamoDBPara o serviço. Para a ação, escolha All

actions (Todas as ações).4. Ainda no painel esquerdo, selecioneAdicionar recursoe especifiqueDynamoDBeTodos os

recursos. Escolha Add resource (Adicionar recurso).

A instrução de política à direita é atualizada para ser semelhante ao seguinte.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "dynamodb:*" ], "Resource": [ "*" ] } ]}

5. Escolha Create policy (Criar política) para salvar a SCP.

Anexe as SCPs às suas UOsAgora que as SCPs existem e estão habilitadas para a raiz, você pode anexá-las para a raiz e UO.

17

https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy

AWS Organizations Guia do usuárioEtapa 4: Testar as políticas da sua organização


Para anexar as políticas à raiz e às UOs

1. Navegue até o .Contas da AWS.2. NoContas da AWS, selecioneRaiz(seu nome, não o botão de opção) para navegar até sua página

de detalhes.3. NoRaizPágina de detalhes, escolha a opçãoPolíticase, em seguida, emPolíticas de controle de

serviço, escolhaAnexar.4. NoAnexe uma política de controle de serviço, escolha o botão de seleção ao lado do SCP

chamadoBlock CloudTrail Configuration Actionse, depois, escolhaAnexar. Nestetutorial, você anexa-o à raiz para que afete todas as contas-membro para impedir que alguémaltere sua configuração do CloudTrail.

ORaizPágina de detalhes,PolíticasAgora mostra que duas SCPs estão anexadas à raiz: o quevocê acabou de anexar e o padrãoFullAWSAccessSCPS.

5. Navegue novamente até o.Contas da AWSe escolha a opçãoProduçãoOU (é o nome, não o botãode opção) para navegar até a página de detalhes.

6. NoProduçãoA página de detalhes da UO, escolha a opçãoPolíticasGuia.7. UnderPolíticas de controle de serviço, escolhaAnexar.8. NoAnexe uma política de controle de serviço, escolha o botão de seleção ao lado deAllow List

for All Approved Servicese, depois, escolhaAnexar. Isso permite que usuários ou funçõesem contas de membro noProduçãoUO para acessar os serviços aprovados.

9. Selecione oPolíticasOutra vez para ver se duas SCPs estão anexadas à UO: a que você acaboude anexar e a padrãoFullAWSAccessSCPS. No entanto, porque oFullAWSAccessSCPtambém é uma autorização que permite todos os serviços e ações, você deve agora desanexaresse SCP para garantir que apenas os serviços aprovados são permitidos.

10. Para remover a política padrão doProduçãoOU, escolha o botão de opção paraFullAWSAccess,escolhaDesconectarE, depois, na caixa de diálogo de confirmação, escolhaDesanexar política.

Depois de remover esta política predefinida, todas as contas de membro sob aProduçãoUOperdem imediatamente o acesso a todas as ações e serviços que não estão na SCP da lista depermissões anexada nas etapas anteriores. Todas as solicitações para usar ações que não estãoincluídas na SCP Allow List for All Approved Services (Lista de permissões para todos os serviçosaprovados) são negadas. Isso é válido mesmo se um administrador em uma conta concederacesso a outro serviço anexando uma política de permissões do IAM a um usuário em uma dascontas-membro.

11. Agora você pode anexar a SCP chamada Deny List for MainApp Prohibited servicespara impedir que qualquer pessoa nas contas na UO do MainApp de usar quaisquer serviçosrestritos.

Para fazer isso, navegue até o.Contas da AWS, escolha o ícone do triângulo para expandiroProduçãoA ramificação da UO e, em seguida, escolha oMainAppUO (é o nome, não o botão deopção) para navegar para seu conteúdo.

12. NoMainAppPágina de detalhes, escolha a opçãoPolíticasGuia.13. UnderPolíticas de controle de serviço, escolha Anexar e, na lista de políticas disponíveis,

escolha o botão de opção ao lado deLista de negar para os serviços proibiMainAppe, depois,escolhaAnexar política.

Etapa 4: Testar as políticas da sua organizaçãoAgora você pode fazer login como um usuário em qualquer uma das contas-membro e tentar executarvárias ações da AWS:

18

https://console.aws.amazon.com/organizations/v2/home/accountshttps://console.aws.amazon.com/organizations/v2/home/accountshttps://console.aws.amazon.com/organizations/v2/home/accountshttps://console.aws.amazon.com/organizations/v2/home/accounts

AWS Organizations Guia do usuárioTutorial: Monitorar com CloudWatch Events

• Se fizer login como um usuário na conta de gerenciamento, você poderá executar qualquer operaçãopermitida por suas políticas de permissões do IAM. Os SCPs não afetam qualquer usuário ou função naconta de gerenciamento, não importa em qual raiz ou UO a conta está localizada.

• Se fizer login como o usuário raiz ou um usuário IAM na conta 222222222222, você poderá executarqualquer ação permitida pela lista de permissões. As AWS Organizations nega qualquer tentativa deexecutar uma ação em qualquer serviço que não está na lista de permissões. Além disso, as AWSOrganizations nega qualquer tentativa de executar uma das ações de configuração do CloudTrail.

• Se fizer login como um usuário na conta 333333333333, você pode executar qualquer ação permitidapela lista de permissões e não bloqueadas pela lista de negações. As AWS Organizations nega qualquertentativa de executar uma ação que não está na política de lista de permissões e qualquer ação queesteja na política de lista de negações. Além disso, as AWS Organizations nega qualquer tentativa deexecutar uma das ações de configuração do CloudTrail.

Tutorial: Monitorar alterações importantes em suaorganização com o CloudWatch Events

Este tutorial mostra como configurar o CloudWatch Events para monitorar alterações em sua organização.Você inicia ao configurar uma regra que é acionada quando os usuários invocam operações específicasdo AWS Organizations. Em seguida, você configura o CloudWatch Events para executar uma função AWSLambda quando a regra for acionada, e você configura o Amazon SNS para enviar um e-mail com detalhessobre o evento.

A seguinte ilustração mostra as etapas principais do tutorial.

Etapa 1: Configurar um seletor de eventos e trilhas (p. 20)

Crie um registro do, chamadoTrilha do, no AWS CloudTrail. Você configura-o para capturar todas aschamadas de API.

Etapa 2: Configurar uma função do Lambda (p. 21)

Crie uma função do AWS Lambda que registra detalhes sobre o evento em um bucket do S3.Etapa 3: Crie um tópico do Amazon SNS que envia e-mails aos assinantes (p. 22)

Crie um tópico do Amazon SNS que envia e-mails para seus assinantes e, em seguida, inscreva-se notópico.

19

AWS Organizations Guia do usuárioPrerequisites

Etapa 4: Criar uma regra do CloudWatch Events (p. 22)

Crie uma regra que informa ao CloudWatch Events para passar detalhes de chamadas de APIespecificadas para a função Lambda e para assinantes do tópico de SNS.

Etapa 5: Teste sua regra do CloudWatch Events (p. 23)

Teste a sua nova regra executando uma das operações monitoradas. Neste tutorial, a operaçãomonitorada é a criação de uma unidade organizacional (UO). Você visualiza a entrada de registro quea função Lambda cria e o e-mail que o Amazon SNS envia aos assinantes.

Tip

Você também poderá usar este tutorial como um guia para configurar operações semelhantes,como enviar notificações por e-mail quando a criação da conta estiver concluída. Como a criaçãoda conta é uma operação assíncrona, por padrão, você não é notificado quando ela é concluída.Para obter mais informações sobre como usar o AWS CloudTrail e o CloudWatch Events comAWS Organizations, consulteRegistro em log e monitoramento nas AWS Organizations (p. 316).

PrerequisitesEste tutorial assume o seguinte:

• Você pode fazer login no Console de Gerenciamento da AWS como um usuário do IAM da conta degerenciamento da sua organização. O usuário do IAM deve ter permissões para criar e configurar umlogin no CloudTrail, uma função no Lambda, um tópico no Amazon SNS e uma regra no CloudWatch.Para obter mais informações sobre a concessão de permissões, consulteGerenciamento deacessonoGuia do usuário do IAMou o guia do serviço para o qual você deseja configurar o acesso.

• Você tem acesso a um bucket do Amazon Simple Storage Service (Amazon S3) (ou você tempermissões para criar um bucket) para receber o registro do CloudTrail que você configura na etapa 1.

Important

No momento, somente as AWS Organizations estão hospedadas na região Leste dos EUA (Norteda Virgínia) (embora esteja disponível globalmente). Para executar as etapas neste tutorial, vocêdeve configurar o console de gerenciamento da AWS para usar essa região.

Etapa 1: Configurar um seletor de eventos e trilhasNesta etapa, você faz login na conta de gerenciamento e configura um registro (chamadoTrilha do) noAWS CloudTrail. Você também pode configurar um seletor de eventos na trilha para capturar todas aschamadas de API de leitura/gravação para que o CloudWatch Events tenha chamadas para acionar.

Para criar uma trilha

1. Faça login na AWS como administrador da conta de gerenciamento da organização e, em seguida,abra o console do CloudTrail emhttps://console.aws.amazon.com/cloudtrail/.

2. Na barra de navegação no canto superior direito do console, escolha a caixa de seleçãoLeste dosEUA (Norte da Virgínia)Região : Se você escolher uma região diferente, as AWS Organizations nãoaparecerão como uma opção nas definições de configuração do CloudWatch Events e o CloudTrailnão capturará informações sobre AWS Organizations.

3. No painel de navegação, selecione Trilhas.4. Escolha Create Trail (Criar trilha).5. Em Trail name (Nome da trilha), digite My-Test-Trail.6. Execute uma das seguintes opções para especificar onde o CloudTrail deve entregar seus registros:

20

https://docs.aws.amazon.com/IAM/latest/UserGuide/access.htmlhttps://docs.aws.amazon.com/IAM/latest/UserGuide/access.htmlhttps://console.aws.amazon.com/cloudtrail/

AWS Organizations Guia do usuárioEtapa 2: Configurar uma função do Lambda

• Se você já tiver um bucket, escolha No (Não) ao lado de Create a new S3 bucket (Criar um novobucket do S3) e escolha o nome do bucket na lista S3 bucket (Bucket do S3).

• Se você precisar criar um bucket, escolha Yes (Sim) ao lado de Create a new S3 bucket (Criar umnovo bucket do S3) e, em S3 bucket (Bucket do S3), digite um nome para o novo bucket.

Note

Os nomes de buckets do S3 devem ser exclusivos globalmente.7. Escolha Criar.8. Escolha a trilha My-Test-Trail que você acabou de criar.9. Escolha o ícone de lápis ao lado de Gerenciar eventos.10. Para eventos de leitura/gravação, escolha Tudo, escolha Salvar e, em seguida, escolha Configurar.

O CloudWatch Events permite que você escolha entre várias maneiras diferentes para enviar alertasquando uma regra de alarme corresponder a uma chamada de API de entrada. Este tutorial demonstradois métodos: invocar uma função Lambda que pode registrar a chamada de API e enviar informaçõespara um tópico do Amazon SNS que envia um e-mail ou mensagem de texto para os assinantes do tópico.Nas duas próximas etapas, você criará os componentes necessários: a função do Lambda e o tópico doAmazon SNS.

Etapa 2: Configurar uma função do LambdaNesta etapa, você cria uma função Lambda que registra as atividades de APIs que são enviadas a ela pelaregra CloudWatch Events que você configura mais tarde.

Para criar uma função do Lambda que registra eventos do CloudWatch Events

1. Abra o console do AWS Lambda emhttps://console.aws.amazon.com/lambda/.2. Se você é novo no Lambda, escolhaComece a usarNa página de boas-vindas; caso contrário,

escolhaCriar uma função.3. Na página Create function (Criar função), selecione Blueprints (Esquemas).4. Na caixa de pesquisa Blueprints (Esquemas), digitehello para o filtro e escolha o esquema hello-

world.5. Selecione Configurar.6. Na página Basic information (Informações básicas), faça o seguinte:

a. Para o nome da função do Lambda, digiteLogOrganizationEventsnoName (Nome)Caixa detexto.

b. Em Role (Função), escolha Create a custom role (Criar uma função personalizada) e, na parteinferior da página AWS Lambda requires access to your resources (O AWS Lambda requeracesso a seus recursos), escolha Allow (Permitir). Essa função concede a sua função Lambda,permissões para acessar os dados necessários e escrever seu registro de saída.

c. Escolha Create function.7. Na página seguinte, edite o código da função do Lambda, conforme mostrado no seguinte exemplo:

console.log('Loading function');

exports.handler = async (event, context) => { console.log('LogOrganizationsEvents'); console.log('Received event:', JSON.stringify(event, null, 2)); return event.key1; // Echo back the first key value // throw new Error('Something went wrong');};

21

https://console.aws.amazon.com/lambda/

AWS Organizations Guia do usuárioEtapa 3: Crie um tópico do Amazon

SNS que envia e-mails aos assinantes

Este código de exemplo registra o evento em log com uma string do marcadorLogOrganizationEvents seguida pela string JSON que compõe o evento.

8. Escolha Save (Salvar).

Etapa 3: Crie um tópico do Amazon SNS que envia e-mails aos assinantesNesta etapa, você criará um tópico do Amazon SNS que envia informações por e-mail para seusassinantes. Você torna esse tópico um “destino” do CloudWatch Events que você cria mais tarde.

Para criar um tópico do Amazon SNS para enviar um e-mail para assinantes

1. Abra o console do Amazon SNS emhttps://console.aws.amazon.com/sns/v3/.2. No painel de navegação, escolha Tópicos.3. Selecione Criar novo tópico

a. Em Topic name (Nome do tópico), digite OrganizationsCloudWatchTopic.b. Em Display name (Nome de exibição), digite OrgsCWEvnt.c. Escolha Create topic.

4. Agora você pode criar uma assinatura para o tópico. Escolha o ARN para o tópico que você acabou decriar.

5. Selecione Create subscription.

a. Na página Create subscription (Criar assinatura), em Protocol (Protocolo), selecione Email (E-mail).

b. Para Endpoint, insira seu endereço de e-mail.c. Selecione Create subscription. A AWS envia um e-mail para o endereço de e-mail que você

especificou na etapa anterior. Aguarde até o e-mail chegar e, em seguida, clique no link Confirmarassinatura no e-mail para verificar se você recebeu o e-mail corretamente.

d. Volte ao console e atualize a página. A mensagem Confirmação pendente desaparece e ésubstituída pelo ID de assinatura agora válido.

Etapa 4: Criar uma regra do CloudWatch EventsAgora que a função Lambda necessária existe em sua conta, você cria uma regra CloudWatch Events queinvoca quando critérios da regra forem atendidos.

Para criar uma regra do CloudWatch Events

1. Abra o console do CloudWatch emhttps://console.aws.amazon.com/cloudwatch/.2. Como antes, você deve definir o console para oLeste dos EUA (Norte da Virgínia)Região ou

informações sobre Organizations não estão disponí

Documents

AWS Organizations - Guia do usuário...cinco níveis, fornecendo flexibilidade para estruturar seus grupos de contas. Controle sobre os serviços da AWS e as ações da API que cada