Terminologia e concetti per AWS Organizations

Tutte le funzionalità è il set di funzionalità predefinito disponibile per AWS Organizations. È possibile impostare politiche e requisiti di configurazione centrali per un'intera organizzazione, creare autorizzazioni o funzionalità personalizzate all'interno dell'organizzazione, gestire e organizzare gli account in un'unica fattura e delegare le responsabilità ad altri account per conto dell'organizzazione. Puoi anche utilizzare le integrazioni con altri Servizi AWS per definire configurazioni centrali, meccanismi di sicurezza, requisiti di controllo e condivisione delle risorse tra tutti gli account dei membri dell'organizzazione. Per ulteriori informazioni, consulta Utilizzo AWS Organizations con altri Servizi AWS.

La modalità Tutte le funzionalità offre tutte le funzionalità della fatturazione consolidata insieme alle funzionalità amministrative.

La fatturazione consolidata è il set di funzionalità che fornisce funzionalità di fatturazione condivise, ma non include le funzionalità più avanzate di. AWS Organizations Ad esempio, non è possibile consentire l'integrazione di altri AWS servizi con l'organizzazione in modo che funzionino su tutti gli account dell'organizzazione o utilizzare policy per limitare le operazioni consentite a utenti e ruoli in account diversi.

Puoi abilitare tutte le funzionalità per un'organizzazione che originariamente supportava solo le funzionalità di fatturazione consolidata. Per abilitare tutte le caratteristiche, tutti gli account membri invitati devono approvare la modifica accettando l'invito inviato quando l'account di gestione avvia il processo. Per ulteriori informazioni, consulta Abilitazione di tutte le funzionalità per un'organizzazione con AWS Organizations.

Un'organizzazione è un insieme di elementi Account AWSche è possibile gestire centralmente e organizzare in una struttura gerarchica ad albero con una radice nella parte superiore e unità organizzative annidate sotto la radice. Ogni account può trovarsi direttamente nella directory principale o collocato in uno dei punti della gerarchia. OUs

Ogni organizzazione è composta da:

Un'organizzazione ha la funzionalità determinata dall'insieme di caratteristiche che si abilita.

Una radice amministrativa (root) è contenuta nell'account di gestione ed è il punto di partenza per l'organizzazione di Account AWS. La radice è il contenitore più in alto nella gerarchia dell'organizzazione. In base a questa radice, puoi creare unità organizzative (OUs) per raggruppare logicamente i tuoi account e organizzarli OUs in una gerarchia più adatta alle tue esigenze.

Se applichi una politica di gestione alla radice, questa si applica a tutte le unità organizzative (OUs) e agli account, incluso l'account di gestione dell'organizzazione.

Se si applica una politica di autorizzazione (ad esempio, una politica di controllo del servizio (SCP)), alla radice, questa si applica a tutte le unità organizzative (OUs) e agli account membri dell'organizzazione. Non si applica all'account di gestione dell'organizzazione.

Un'unità organizzativa (OU) è un gruppo Account AWSall'interno di un'organizzazione. Un'unità organizzativa può anche contenere altre unità che OUs consentono di creare una gerarchia. Ad esempio, è possibile raggruppare tutti gli account che appartengono allo stesso reparto in un'unità organizzativa dipartimentale. Allo stesso modo, è possibile raggruppare tutti gli account che eseguono servizi di sicurezza in un'unità organizzativa di sicurezza.

OUssono utili quando è necessario applicare gli stessi controlli a un sottoinsieme di account dell'organizzazione. Il nesting OUs consente unità di gestione più piccole. Ad esempio, puoi creare OUs per ogni carico di lavoro, quindi crearne due annidate OUs in ogni unità organizzativa di carico di lavoro per dividere i carichi di lavoro di produzione da quelli di pre-produzione. Queste OUs ereditano le policy dall'unità organizzativa principale oltre a tutti i controlli assegnati direttamente all'unità organizzativa a livello di team. Includendo la radice e quella Account AWS creata nella parte inferioreOUs, la gerarchia può avere una profondità di cinque livelli.

An Account AWSè un contenitore per le tue AWS risorse. Crei e gestisci AWS le tue risorse in un unico Account AWS ambiente e Account AWS fornisce funzionalità amministrative per l'accesso e la fatturazione.

L'utilizzo di più risorse Account AWS è una procedura ottimale per scalare l'ambiente, in quanto consente di stabilire un limite di fatturazione per i costi, isola le risorse per motivi di sicurezza, offre flessibilità a singoli utenti e team, oltre ad essere adattabile ai nuovi processi.

Esistono due tipi di account in un'organizzazione: un account singolo designato come account di gestione e uno o più account membro.

Un account di gestione è l'account Account AWS che usi per creare la tua organizzazione. Dall'account di gestione, puoi effettuare le seguenti operazioni:

L'account di gestione è il proprietario finale dell'organizzazione e ha il controllo finale sulla sicurezza, l'infrastruttura e le politiche finanziarie. Questo account ha la funzione di conto di pagamento ed è responsabile del pagamento di tutti gli addebiti maturati dai conti della sua organizzazione.

Un account membro è un account Account AWS, diverso dall'account di gestione, che fa parte di un'organizzazione. Se sei un amministratore di un'organizzazione, puoi creare account membro nell'organizzazione e invitare gli account esistenti a unirsi all'organizzazione. Puoi anche applicare politiche agli account dei membri.

Consigliamo di utilizzare l'account di gestione e i relativi utenti e ruoli solo per le attività che devono essere eseguite da tale account. Consigliamo di archiviare tutte le risorse AWS in altri account membro nell'organizzazione ed escluderle dall'account di gestione. Questo perché le funzionalità di sicurezza come Organizations service control policies (SCPs) non limitano gli utenti o i ruoli nell'account di gestione. Inoltre, la separazione delle risorse dall'account di gestione può aiutare a comprendere gli addebiti sulle fatture. Dall'account di gestione dell'organizzazione, puoi designare uno o più account membro come account amministratore delegato per aiutarti a implementare questo suggerimento. Esistono due tipi di amministratori delegati:

Un invito è il processo per chiedere a un altro account di entrare a far parte della tua organizzazione. Un invito può essere inviato solo dall'account di gestione dell'organizzazione. L'invito viene esteso all'ID dell'account o all'indirizzo e-mail associato all'account invitato. Dopo che l'account invitato accetta un invito, diventa un account membro nell'organizzazione. Gli inviti possono anche essere inviati a tutti gli account membri attuali quando l'organizzazione ha bisogno che tutti i membri approvino la modifica dal solo supporto delle caratteristiche di fatturazione consolidata per supportare tutte le funzionalità dell'organizzazione. Gli inviti funzionano attraverso le strette di mano tra gli account. Gli handshake potrebbero non essere visibili quando utilizzi la console AWS Organizations . Ma se usi l'opzione AWS CLI o AWS Organizations API, devi lavorare direttamente con le strette di mano.

Una stretta di mano è un processo in più fasi di scambio di informazioni tra due parti. Uno dei suoi usi principali AWS Organizations è quello di fungere da implementazione di base per gli inviti. L'invio e la risposta dei messaggi di handshake avviene tra l'iniziatore dell'handshake e il destinatario. I messaggi vengono passati in un modo che contribuisce a garantire che entrambe le parti sappiano sempre qual è lo stato corrente. Gli handshake vengono utilizzati anche quando si modifica l'organizzazione dal solo supporto delle caratteristiche di fatturazione consolidata per supportare tutte le caratteristiche che AWS Organizations offre. In genere è necessario interagire direttamente con le strette di mano solo se si utilizzano strumenti da riga di comando come. AWS Organizations API AWS CLI

Una policy di backup è un tipo di policy che consente di standardizzare e implementare una strategia di backup per le risorse di tutti gli account dell'organizzazione. In una policy di backup, è possibile configurare e distribuire piani di backup per le risorse.

Una politica dei tag è un tipo di politica che consente di standardizzare i tag tra le risorse di tutti gli account dell'organizzazione. In una policy di tag puoi specificare le regole di tag per risorse specifiche.

Una policy sui chatbot è un tipo di policy che ti aiuta a controllare l'accesso agli account della tua organizzazione da applicazioni di chat come Slack e Microsoft Teams. In una politica di Chatbot, limiti l'accesso a spazi di lavoro specifici (Slack) e team (Microsoft Teams).

Una politica di disattivazione dei servizi di intelligenza artificiale è un tipo di politica che ti aiuta a standardizzare le impostazioni di opt-out per i servizi di AWS intelligenza artificiale in tutti gli account della tua organizzazione. Alcuni servizi di AWS intelligenza artificiale possono archiviare e utilizzare i contenuti dei clienti elaborati da tali servizi per lo sviluppo e il miglioramento continuo dei servizi e delle tecnologie di intelligenza artificiale di Amazon. In base a una politica di disattivazione dei servizi di intelligenza artificiale, puoi scegliere di non consentire che i tuoi contenuti vengano archiviati o utilizzati per migliorare il servizio.

Una politica di controllo dei servizi è una politica che specifica i servizi e le azioni che gli utenti e i ruoli possono utilizzare negli account interessati SCP. SCPssono simili alle politiche di IAM autorizzazione, tranne per il fatto che non concedono alcuna autorizzazione. SCPsSpecificate invece le autorizzazioni massime per un'organizzazione, unità organizzative (OUs) o account. Quando ne colleghi un'unità principale o SCP a un'unità organizzativa, SCP limita le autorizzazioni per le entità nell'account membro.

Gli elenchi consentiti e gli elenchi negati sono strategie complementari che è possibile utilizzare SCPsper filtrare le autorizzazioni disponibili per gli account.