Utilizzo AWS Organizations con altri Servizi AWS - AWS Organizations
Autorizzazioni necessarie per abilitare l'accesso sicuroAutorizzazioni necessarie per disabilitare l'accesso sicuroCome abilitare o disabilitare l'accesso sicuroAWS Organizations e ruoli collegati ai servizi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo AWS Organizations con altri Servizi AWS

È possibile utilizzare l'accesso affidabile per consentire a un AWS servizio supportato specificato dall'utente, denominato servizio affidabile, di eseguire attività all'interno dell'organizzazione e dei relativi account per conto dell'utente. Ciò comporta la concessione di autorizzazioni al servizio attendibile, ma non influisce in altro modo sulle autorizzazioni degli utenti o dei ruoli. Quando abiliti l'accesso, il servizio affidabile può creare un IAM ruolo chiamato ruolo collegato al servizio in ogni account dell'organizzazione ogni volta che tale ruolo è necessario. Questo ruolo possiede una policy di autorizzazioni che consente il servizio sicuro per eseguire le attività descritte nella documentazione del servizio. Ciò consente di specificare le impostazioni e i dettagli di configurazione che desideri vengano mantenute negli account dell'organizzazione per tuo conto dal servizio sicuro. Il servizio attendibile crea ruoli collegati al servizio solo quando è necessario eseguire operazioni di gestione sugli account e non necessariamente in tutti gli account dell'organizzazione.

Importante

Ti consigliamo vivamente, quando l'opzione è disponibile, di abilitare e disabilitare l'accesso affidabile utilizzando solo la console del servizio affidabile o i suoi AWS CLI equivalenti API operativi. Ciò consente al servizio attendibile di eseguire qualsiasi inizializzazione richiesta quando si abilita l'accesso attendibile, ad esempio la creazione di tutte le risorse richieste e la pulizia delle risorse necessarie quando si disabilita l'accesso attendibile.

Per informazioni su come abilitare o disabilitare l'accesso al servizio attendibile all'organizzazione tramite il servizio attendibile, consulta il link Ulteriori informazioni nella colonna Supporta l'accesso attendibile alla pagina Servizi AWS che puoi usare con AWS Organizations.

Se si disabilita l'accesso utilizzando la console, CLI i comandi o API le operazioni di Organizations, si verificano le seguenti azioni:

  • Il servizio non può più creare un ruolo collegato ai servizi negli account dell'organizzazione. Ciò significa che il servizio non può eseguire operazioni per tuo conto su nuovi account nell'organizzazione. Il servizio può ancora eseguire operazioni in account meno recenti fino a quando non completa la pulizia da AWS Organizations.

  • Il servizio non può più eseguire attività negli account dei membri dell'organizzazione, a meno che tali operazioni non siano esplicitamente consentite dalle IAM politiche allegate ai ruoli dell'utente. Ciò include qualsiasi aggregazione di dati dagli account membro all'account di gestione o a un account di amministratore delegato, se applicabile.

  • Alcuni servizi rilevano questa modifica e ripuliscono tutti i dati o le risorse rimanenti relativi all'integrazione, mentre altri servizi smettono di accedere all'organizzazione ma lasciano in atto tutti i dati e la configurazione storici per supportare una possibile riabilitazione dell'integrazione.

L'utilizzo della console o dei comandi dell'altro servizio per disabilitare l'integrazione garantisce invece che l'altro servizio possa ripulire tutte le risorse richieste esclusivamente per l'integrazione. Il modo in cui il servizio ripulisce le proprie risorse negli account dell'organizzazione dipende da tale servizio. Per ulteriori informazioni, consulta la documentazione dell'altro servizio AWS .

Autorizzazioni necessarie per abilitare l'accesso sicuro

L'accesso affidabile richiede le autorizzazioni per due servizi: AWS Organizations e il servizio affidabile. Per abilitare l'accesso sicuro, scegli uno dei seguenti scenari:

  • Se disponi di credenziali con autorizzazioni per entrambi AWS Organizations e per il servizio affidabile, abilita l'accesso utilizzando gli strumenti (console o AWS CLI) forniti dal servizio affidabile. Ciò consente al servizio di abilitare l'accesso affidabile per conto dell'utente e di creare tutte le risorse necessarie affinché il servizio funzioni all'interno dell'organizzazione. AWS Organizations

    Le autorizzazioni minime per queste credenziali sono le seguenti:

    • organizations:EnableAWSServiceAccess. Puoi anche utilizzare la condizione chiave organizations:ServicePrincipal con questa operazione per limitare le richieste che tali operazioni effettuano a un elenco dei principali nomi di servizio approvati. Per ulteriori informazioni, consulta Chiavi di condizione.

    • organizations:ListAWSServiceAccessForOrganization— Obbligatorio se si utilizza la AWS Organizations console.

    • Le autorizzazioni minime necessarie per il servizio sicuro dipende dal servizio. Per ulteriori informazioni, consulta la documentazione del servizio sicuro.

  • Se una persona dispone di credenziali con autorizzazioni AWS Organizations ma qualcun altro possiede credenziali con autorizzazioni nel servizio affidabile, esegui questi passaggi nell'ordine seguente:

    1. La persona che dispone di credenziali con autorizzazioni AWS Organizations deve utilizzare la AWS Organizations console, il o un dispositivo AWS SDK per abilitare l' AWS CLI accesso attendibile per il servizio attendibile. Ciò autorizza l'altro servizio a eseguire la configurazione richiesta nell'organizzazione quando viene eseguito il seguente passaggio (passaggio 2).

      Le AWS Organizations autorizzazioni minime sono le seguenti:

      • organizations:EnableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization— Richiesto solo se si utilizza la console AWS Organizations

      Per i passaggi per abilitare l'accesso affidabile in AWS Organizations, vediCome abilitare o disabilitare l'accesso sicuro.

    2. La persona che dispone delle credenziali con le autorizzazioni nel servizio sicuro consente a quel servizio di funzionare con AWS Organizations. Ciò indica al servizio di eseguire qualsiasi inizializzazione richiesta, ad esempio la creazione di tutte le risorse necessarie per il funzionamento del servizio sicuro nell'organizzazione. Per ulteriori informazioni, consulta le istruzioni specifiche del servizio alla pagina Servizi AWS che puoi usare con AWS Organizations.

Autorizzazioni necessarie per disabilitare l'accesso sicuro

Quando non desideri più consentire al servizio sicuro di operare nella tua autorizzazione o nel relativo account, scegli uno dei seguenti scenari.

Importante

Disabilitare l'accesso al servizio sicuro non impedisce agli utenti e ai ruoli con le autorizzazioni appropriate di utilizzare quel servizio. Per impedire completamente a utenti e ruoli di accedere a un AWS servizio, puoi rimuovere le IAM autorizzazioni che garantiscono tale accesso oppure puoi utilizzare le politiche di controllo del servizio (SCPs) in AWS Organizations.

Puoi candidarti solo SCPs agli account dei membri. SCPsnon si applicano all'account di gestione. Ti consigliamo di non eseguire servizi nell'account di gestione. Eseguili invece negli account dei membri in cui puoi controllare la sicurezza utilizzandoSCPs.

  • Se disponi di credenziali con autorizzazioni AWS Organizations sia per il servizio affidabile che per il servizio affidabile, disabilita l'accesso utilizzando gli strumenti (console o AWS CLI) disponibili per il servizio affidabile. Il servizio quindi pulisce rimuovendo le risorse che non sono più necessarie e disabilitando l'accesso sicuro per il servizio in AWS Organizations per tuo conto.

    Le autorizzazioni minime per queste credenziali sono le seguenti:

    • organizations:DisableAWSServiceAccess. Puoi anche utilizzare la condizione chiave organizations:ServicePrincipal con questa operazione per limitare le richieste che tali operazioni effettuano a un elenco dei principali nomi di servizio approvati. Per ulteriori informazioni, consulta Chiavi di condizione.

    • organizations:ListAWSServiceAccessForOrganization— Obbligatorio se si utilizza la AWS Organizations console.

    • Le autorizzazioni minime necessarie per il servizio sicuro dipendono dal servizio. Per ulteriori informazioni, consulta la documentazione del servizio sicuro.

  • Se le credenziali con autorizzazioni AWS Organizations non sono le credenziali con autorizzazioni nel servizio affidabile, esegui questi passaggi nell'ordine seguente:

    1. La persona con le autorizzazioni nel servizio sicuro disabilita innanzitutto l'accesso tramite il servizio. Questo indica al servizio trusted di pulire rimuovendo le risorse necessarie per il servizio sicuro. Per ulteriori informazioni, consulta le istruzioni specifiche del servizio alla pagina Servizi AWS che puoi usare con AWS Organizations.

    2. La persona con le autorizzazioni AWS Organizations può quindi utilizzare la AWS Organizations console o un account AWS SDK per disabilitare l'accesso al servizio affidabile. AWS CLI Ciò rimuove le autorizzazioni per il servizio sicuro dall'organizzazione e dal relativo account.

      Le AWS Organizations autorizzazioni minime sono le seguenti:

      • organizations:DisableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization— Richiesto solo se si utilizza la console AWS Organizations

      Per i passaggi per disabilitare l'accesso affidabile in AWS Organizations, vedereCome abilitare o disabilitare l'accesso sicuro.

Come abilitare o disabilitare l'accesso sicuro

Se disponi solo delle autorizzazioni AWS Organizations e desideri abilitare o disabilitare l'accesso affidabile alla tua organizzazione per conto dell'amministratore dell'altro AWS servizio, utilizza la procedura seguente.

Importante

Ti consigliamo vivamente, quando l'opzione è disponibile, di abilitare e disabilitare l'accesso affidabile utilizzando solo la console del servizio affidabile AWS CLI o le sue API operazioni equivalenti. Ciò consente al servizio attendibile di eseguire qualsiasi inizializzazione richiesta quando si abilita l'accesso attendibile, ad esempio la creazione di tutte le risorse richieste e la pulizia delle risorse necessarie quando si disabilita l'accesso attendibile.

Per informazioni su come abilitare o disabilitare l'accesso al servizio attendibile all'organizzazione tramite il servizio attendibile, consulta il link Ulteriori informazioni nella colonna Supporta l'accesso attendibile alla pagina Servizi AWS che puoi usare con AWS Organizations.

Se si disabilita l'accesso utilizzando la console, CLI i comandi o API le operazioni di Organizations, si verificano le seguenti azioni:

  • Il servizio non può più creare un ruolo collegato ai servizi negli account dell'organizzazione. Ciò significa che il servizio non può eseguire operazioni per tuo conto su nuovi account nell'organizzazione. Il servizio può ancora eseguire operazioni in account meno recenti fino a quando non completa la pulizia da AWS Organizations.

  • Il servizio non può più eseguire attività negli account dei membri dell'organizzazione, a meno che tali operazioni non siano esplicitamente consentite dalle IAM politiche allegate ai ruoli dell'utente. Ciò include qualsiasi aggregazione di dati dagli account membro all'account di gestione o a un account di amministratore delegato, se applicabile.

  • Alcuni servizi rilevano questa modifica e ripuliscono tutti i dati o le risorse rimanenti relativi all'integrazione, mentre altri servizi smettono di accedere all'organizzazione ma lasciano in atto tutti i dati e la configurazione storici per supportare una possibile riabilitazione dell'integrazione.

L'utilizzo della console o dei comandi dell'altro servizio per disabilitare l'integrazione garantisce invece che l'altro servizio possa ripulire tutte le risorse richieste esclusivamente per l'integrazione. Il modo in cui il servizio ripulisce le proprie risorse negli account dell'organizzazione dipende da tale servizio. Per ulteriori informazioni, consulta la documentazione dell'altro AWS servizio.

AWS Management Console
Per abilitare l'accesso al servizio attendibile

  1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina Services (Servizi), trova la riga per il servizio che desideri abilitare e scegline il nome.

  3. Scegliere Enable trusted access (Abilita accesso sicuro).

  4. Nella finestra di dialogo di conferma, seleziona la casella Show the option to enable trusted access (Mostra l'opzione per abilitare l'accesso attendibile), inserisci enable nella casella, quindi scegli Enable trusted access (Abilita accesso attendibile).

  5. Se stai abilitando l'accesso, comunica all'amministratore dell'altro AWS servizio che ora può abilitare l'utilizzo dell'altro servizio AWS Organizations.

Per disabilitare l'accesso al servizio attendibile

  1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina Services (Servizi), trova la riga per il servizio che desideri disabilitare e scegline il nome.

  3. Attendi fino a quando l'amministratore non ti informa che il servizio è disabilitato e che le relative risorse sono state pulite.

  4. Nella finestra di dialogo di conferma, inserisci disable nella casella, quindi scegli Disable trusted access (Disabilita accesso attendibile).

AWS CLI, AWS API
Per abilitare o disabilitare l'accesso al servizio attendibile

È possibile utilizzare i AWS CLI comandi o le API operazioni seguenti per abilitare o disabilitare l'accesso affidabile ai servizi:

AWS Organizations e ruoli collegati ai servizi

AWS Organizations utilizza ruoli IAM collegati ai servizi per consentire ai servizi affidabili di eseguire attività per conto dell'utente negli account dei membri dell'organizzazione. Quando configuri un servizio sicuro e lo autorizzi a integrarsi con la tua organizzazione, tale servizio può richiedere che AWS Organizations crei un ruolo collegato ai servizi nel proprio account membro. Il servizio sicuro crea i ruoli in modo asincrono in base alle esigenze e non necessariamente in tutti gli account dell'organizzazione allo stesso tempo. Il ruolo collegato al servizio dispone di IAM autorizzazioni predefinite che consentono al servizio affidabile di eseguire solo attività specifiche all'interno di quell'account. In generale, AWS gestisce tutti i ruoli collegati ai servizi, il che significa che in genere non puoi modificare i ruoli o le policy collegate.

Per rendere possibile tutto ciò, quando crei un account in un'organizzazione o accetti un invito a unire l'account esistente a un'organizzazione, AWS Organizations dota l'account membro di un ruolo collegato ai servizi, denominato AWSServiceRoleForOrganizations. Solo il AWS Organizations servizio stesso può assumere questo ruolo. Il ruolo dispone di autorizzazioni che consentono di AWS Organizations creare ruoli collegati al servizio per altri. Servizi AWS Questo ruolo collegato ai servizi è presente in tutte le organizzazioni.

Anche se non è consigliabile, se la tua organizzazione ha solo le caratteristiche di fatturazione consolidata abilitate, il ruolo collegato ai servizi denominato AWSServiceRoleForOrganizations non viene mai utilizzato e puoi eliminarlo. Se in seguito desideri abilitare tutte le caratteristiche della tua organizzazione, il ruolo è obbligatorio ed è necessario ripristinarlo. I seguenti controlli si verificano all'inizio della procedura per abilitare tutte le caratteristiche:

  • Per ogni account membro che è stato invitato a unirsi all'organizzazione - L'amministratore dell'account riceve una richiesta per accettare di abilitare tutte le caratteristiche. Per accettare con successo la richiesta, l'amministratore deve disporre di entrambe le autorizzazioni organizations:AcceptHandshake eiam:CreateServiceLinkedRole se il ruolo collegato al servizio (AWSServiceRoleForOrganizations) non esiste già. Se il AWSServiceRoleForOrganizations ruolo esiste già, l'amministratore necessita solo dell'autorizzazione organizations:AcceptHandshake per accettare la richiesta. Quando l'amministratore accetta la richiesta, AWS Organizations crea il ruolo collegato al servizio se non esiste già.

  • Per ogni account membro che è stato creato nell'organizzazione - L'amministratore dell'account riceve una richiesta per creare nuovamente il ruolo collegato ai servizi. (L'amministratore dell'account membro non riceve una richiesta per abilitare tutte le caratteristiche in quanto l'amministratore dell'account di gestione (in precedenza noto come "account principale") è considerato il proprietario dell'account membro creato). AWS Organizations crea il ruolo collegato ai servizi quando l'amministratore dell'account membro accetta la richiesta. L'amministratore deve disporre di entrambe le autorizzazioni organizations:AcceptHandshake e iam:CreateServiceLinkedRole per accettare con successo l'handshake.

Dopo aver abilitato tutte le caratteristiche nella tua organizzazione, non puoi più eliminare il ruolo collegato ai servizi AWSServiceRoleForOrganizations da qualsiasi account.

Importante

AWS Organizations SCPsnon influiscono mai sui ruoli collegati ai servizi. Questi ruoli sono esenti da qualsiasi restrizione. SCP