Tutorial: creazione e configurazione di un'organizzazione - AWS Organizations
PrerequisitiFase 1: creazione dell'organizzazioneFase 2: creazione delle unità organizzative (UO) Fase 3: creazione delle policy di controllo dei serviziFase 4: Test delle policy dell'organizzazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tutorial: creazione e configurazione di un'organizzazione

Questo tutorial illustrerà come creare un'organizzazione e come configurarla con due account membri di AWS. Creando uno degli account membri nell'organizzazione, sarà possibile invitare altri account a far parte dell'organizzazione. Sarà quindi possibile utilizzare la tecnica dell'elenco consentiti per specificare che solo gli amministratori dell'account potranno delegare operazioni e servizi esplicitamente elencati. Questa operazione consente agli amministratori di convalidare qualsiasi nuovo servizio introdotto da AWS prima che venga autorizzato il suo impiego per gli altri utenti dell'azienda. In questo modo, se AWS introduce un nuovo servizio, finché un amministratore non aggiunge il servizio all'elenco consentiti nella policy appropriata non sarà possibile accedervi. Il tutorial, inoltre, illustra come utilizzare la tecnica di elenco di rifiuto per assicurarsi che nessun utente di un account membro possa modificare la configurazione dei log di audit creati da AWS CloudTrail.

La figura seguente mostra le fasi principali del tutorial.

Fase 1: creazione dell'organizzazione

In questa fase è possibile creare un'organizzazione con l'attuale Account AWS come account di gestione. Inoltre, è possibile invitare un Account AWS a entrare a far parte dell'organizzazione e creare un secondo account come account membro.

Fase 2: creazione delle unità organizzative (UO)

Successivamente, è necessario creare due unità organizzative nella tua organizzazione e posizionare i nuovi account dei membri in quelle unità organizzative.

Fase 3: creazione delle policy di controllo dei servizi

È possibile applicare delle restrizioni per le operazioni che possono essere delegate a utenti e ruoli negli account membri utilizzando le policy di controllo dei servizi. In questa fase è necessario creare due policy di controllo dell'organizzazione e collegarle alle unità organizzative nella tua organizzazione.

Fase 4: Test delle policy dell'organizzazione

È possibile effettuare l'accesso come utente da ogni account di test e visualizzare gli effetti che le SCP hanno sugli account.

Per nessuna delle fasi descritte in questo tutorial verrà addebitato un costo nella fattura AWS. AWS Organizations è un servizio gratuito.

Prerequisiti

Questo tutorial presuppone che si possa accedere a due Account AWS esistenti (è necessario crearne un terzo come parte di questo tutorial) e che sia possibile effettuare l'accesso come amministratore per ogni account.

Il tutorial si riferisce ad account come:

  • 111111111111 - L'account utilizzato per creare l'organizzazione. Questo account diventa l'account di gestione. Il proprietario di questo account dispone di un indirizzo e-mail di OrgAccount111@example.com.

  • 222222222222 - Un account invitato a far parte dell'organizzazione come account membro. Il proprietario di questo account dispone di un indirizzo e-mail di member222@example.com.

  • 333333333333 - Un account creato come membro dell'organizzazione. Il proprietario di questo account dispone di un indirizzo e-mail di member333@example.com.

Sostituire i valori in alto con i valori associati agli account di test. Per questo tutorial consigliamo di non utilizzare account di produzione.

Fase 1: creazione dell'organizzazione

In questa fase si accede come amministratore per l'account 111111111111, si crea un'organizzazione che abbia quell'account come account di gestione e si invita un account esistente (222222222222) a far parte dell'organizzazione.

AWS Management Console

  1. Accedi a AWS come amministratore dell'account 111111111111 e apri la console AWS Organizations.

  2. Nella pagina introduttiva scegli Create an organization (Crea un'organizzazione).

  3. Nella finestra di dialogo di conferma, scegli Create organization (Crea organizzazione).

    Nota

    Per impostazione predefinita, l'organizzazione viene creata con tutte le caratteristiche abilitate. È inoltre possibile creare l'organizzazione solo con le caratteristiche di fatturazione consolidata abilitate.

    AWS crea l'organizzazione e ti mostra la pagina Account AWS. Se ti trovi su una pagina diversa, scegli Account AWS nel pannello di navigazione sinistro.

    Se l'indirizzo e-mail dell'account che utilizzi non è mai stato verificato da AWS, verrà inviata automaticamente un'e-mail di verifica all'indirizzo associato al tuo account di gestione. Potrebbe verificarsi un ritardo prima di ricevere l'e-mail di verifica.

  4. Verificare l'indirizzo e-mail entro 24 ore. Per ulteriori informazioni, consulta Verifica dell'indirizzo e-mail.

Ora hai un'organizzazione che ha come unico membro il tuo account. Questo è l'account di gestione dell'organizzazione.

Invitare un account esistente a far parte dell'organizzazione

Ora che disponi di un'organizzazione puoi iniziare a popolarla con gli account. Nelle fasi descritte in questa sezione, è possibile invitare un account esistente a diventare membro dell'organizzazione.

AWS Management Console
Per invitare un account esistente a far parte della tua organizzazione

  1. Vai alla pagina Account AWS e scegli Add an Account AWS (Aggiungi un Account AWS).

  2. Nella pagina Aggiungi un Account AWS, scegli Invita un Account AWS esistente.

  3. Nella casella Email address or account ID of an Account AWS to invite (Indirizzo e-mail o ID dell'Account AWS da invitare), inserisci l'indirizzo e-mail del proprietario dell'account a cui mandare l'invito, simile al seguente: member222@example.com. In alternativa, se conosci il numero ID dell'Account AWS puoi inserirlo qui.

  4. Digita il testo desiderato nella casella Message to include in the invitation email message (Messaggio da includere nel messaggio e-mail di invito). Questo testo verrà incluso nell'e-mail inviata al proprietario dell'account.

  5. Scegli Send invitation (Manda invito). AWS Organizations manderà l'invito al proprietario dell'account.

    Importante

    Espandi il messaggio di errore, se indicato. Se l'errore indica che hai superato i limiti di account per l'organizzazione o che non è possibile aggiungere un account perché la tua organizzazione è ancora in fase di inizializzazione, attendi un'ora dalla creazione dell'organizzazione e riprova. Se l'errore persiste, contattare AWS Support.

  6. Ai fini di questo tutorial, è ora necessario accettare l'invito. Eseguire una delle operazioni descritte di seguito per arrivare alla pagina Invitations (Inviti) nella console:

    • Apri l'e-mail che AWS ha inviato dall'account di gestione e seleziona il link per accettare l'invito. Quando verrà richiesto, accedere come amministratore dall'account membro invitato.

    • Apri la console AWS Organizations e vai alla pagina Invitations (Inviti).

  7. Nella pagina Account AWS, scegli Accept (Accetta), quindi Confirm (Conferma).

    Suggerimento

    La ricezione dell'invito potrebbe subire ritardi e potrebbe essere necessario attendere prima di poter accettare l'invito.

  8. Disconnetti l'account membro e accedi nuovamente come amministratore dall'account di gestione.

Creazione di un account membro

Nelle fasi descritte in questa sezione, è possibile creare un Account AWS che diventerà automaticamente membro dell'organizzazione. Nel tutorial ci si riferisce a questo account come 333333333333..

AWS Management Console
Per creare un account membro

  1. Nella console AWS Organizations, alla pagina Account AWS, scegli Add Account AWS (Aggiungi Account AWS).

  2. Nella pagina Add an Account AWS (Aggiungi un Account AWS), scegli Create an Account AWS (Crea un Account AWS).

  3. Per Account AWS name (Nome dell'Account AWS), inserisci un nome per l'account, ad esempio MainApp Account.

  4. Per Email address of the account's root user (Indirizzo e-mail dell'utente root dell'account), inserisci l'indirizzo e-mail della persona che riceverà le comunicazioni per conto dell'account. Questo valore deve essere univoco a livello globale. I due account non possono avere lo stesso indirizzo e-mail. Ad esempio, è possibile utilizzare un indirizzo simile a mainapp@example.com.

  5. Per IAM role name (Nome del ruolo IAM), è possibile scegliere un nome o lasciare vuoto questo campo per utilizzare automaticamente il nome del ruolo predefinito di OrganizationAccountAccessRole. Questo ruolo consente di accedere al nuovo account membro quando si accede come utente IAM dall'account di gestione. Per questo tutorial, lasciare vuoto il campo per indicare ad AWS Organizations di creare il ruolo con il nome predefinito.

  6. Scegli Create (Crea) Account AWS. Per visualizzare il nuovo account nella pagina Account AWS è necessario attendere e aggiornare la pagina.

    Importante

    Se ricevi un messaggio di errore che indica che hai superato il limite del numero di account per l'organizzazione o che non è possibile aggiungere un account perché la tua organizzazione è ancora in corso di inizializzazione, attendi un'ora dalla creazione dell'organizzazione e riprova. Se l'errore persiste, contattare AWS Support.

Fase 2: creazione delle unità organizzative (UO)

Nelle fasi di questa sezione, crei delle unità organizzative e vi posizioni gli account membri. Al termine, la gerarchia si presenterà come illustrato di seguito. L'account di gestione rimane nel root. Un account membro viene trasferito nell'UO Production e l'altro account membro viene trasferito nell'UO MainApp, elemento figlio di Production.

AWS Management Console
Per creare e popolare le unità organizzative
Nota

Nei passaggi seguenti, interagisci con gli oggetti per i quali è possibile scegliere il nome dell'oggetto stesso o il pulsante di opzione accanto all'oggetto.

  • Se scegli il nome dell'oggetto, si apre una nuova pagina in cui vengono visualizzati i dettagli dell'oggetto.

  • Se scegli il pulsante di opzione accanto all'oggetto, stai identificando l'oggetto su cui deve essere eseguita un'altra operazione, ad esempio la scelta di un'opzione di menu.

I passaggi che seguono prevedono che tu scelga il pulsante di opzione in modo da poter agire sull'oggetto associato attraverso scelte di menu.

  1. Nella console AWS Organizations, vai alla pagina Account AWS.

  2. Seleziona la casella di controllo accanto al container Root.

  3. Nella scheda Children (Figli), scegli Actions (Operazioni) e quindi in Organizational unit (Unità organizzativa) scegli Create new (Crea nuova).

  4. Nella pagina Create organizational unit in Root (Crea unità organizzativa in root), per Organizational unit name (Nome unità organizzativa) inserisci Production e quindi scegli Create organizational unit (Crea unità organizzativa).

  5. Seleziona la casella di controllo accanto alla nuova UO Production.

  6. Scegli Actions (Operazioni) e quindi in Organizational unit (Unità organizzativa) scegli Create new (Crea nuova).

  7. Nella pagina Create organizational unit in Production (Crea unità organizzativa in produzione), per il nome della seconda UO inserisci MainApp e quindi scegli Create organizational unit (Crea unità organizzativa).

    Ora puoi trasferire gli account membri in queste UO.

  8. Torna alla pagina Account AWS ed espandi la struttura sotto l'UO Production (Produzione) scegliendo il triangolo accanto ad essa. In questo modo viene visualizzata l'UO MainApp come figlia di Production.

  9. Vicino a 333333333333, seleziona la casella di controllo (non il nome), scegli Operazioni) e quindi sotto a Account AWS scegli Sposta.

  10. Nella pagina Sposta Account AWS "333333333333", scegli il triangolo accanto a Produzione per espanderlo. Vicino a MainApp, scegi il pulsante radio (non il nome), quindi scegli Sposta Account AWS.

  11. Vicino a 222222222222, seleziona la casella di controllo (non il nome), scegli Operazioni) e quindi sotto a Account AWS scegli Sposta.

  12. Nella pagina Sposta Account AWS "222222222222", accanto a Produzione, scegli il pulsante radio (non il nome), quindi scegli Sposta Account AWS.

Fase 3: creazione delle policy di controllo dei servizi

Nelle fasi descritte in questa sezione, verranno create tre policy di controllo dei servizi (SCP) e collegate alla root e alle UO, al fine di limitare le operazioni che ciascun utente può eseguire negli account dell'organizzazione. La prima SCP impedisce a qualsiasi account membro di creare o modificare i log di AWS CloudTrail configurati. L'account principale non viene influenzato da alcuna SCP, quindi dopo aver applicato la SCP di CloudTrail è necessario creare i log dall'account di gestione.

Abilitare il tipo di policy di controllo dei servizi per l'organizzazione

Prima di poter collegare una policy di qualsiasi tipo a un root o a una o più UO all'interno di un root, è necessario abilitare il tipo di policy per l'organizzazione. I tipi di policy non sono abilitati per impostazione predefinita. Le fasi descritte in questa sezione mostrano come abilitare il tipo di policy di controllo dei servizi (SCP) per l'organizzazione.

AWS Management Console
Per abilitare le policy di controllo dei servizi per l'organizzazione

  1. Vai alla pagina Policy, quindi scegli Policy di controllo dei servizi.

  2. Nella pagina Service Control Policies (Policy di controllo dei servizi), scegli Enable service control policies (Abilita le policy di controllo dei servizi).

    Viene visualizzato un banner verde per informarti che ora puoi creare SCP nella tua organizzazione.

Crea le SCP

Ora che le policy di controllo dei servizi sono abilitate nell'organizzazione, puoi creare le tre policy che ti occorrono per questo tutorial.

AWS Management Console
Per creare la prima SCP che blocca le operazioni di configurazione di CloudTrail

  1. Vai alla pagina Policy, quindi scegli Policy di controllo dei servizi.

  2. Nella pagina Service control policies (Policy di controllo dei servizi), scegli Create policy (Crea policy).

  3. In Policy name (Nome policy), inserisci Block CloudTrail Configuration Actions.

  4. Nella sezione Policy, nell'elenco dei servizi a destra, seleziona CloudTrail per il servizio. Quindi scegliere le seguenti operazioni: AddTags, CreateTrail, DeleteTrail, RemoveTags, StartLogging, StopLogging e UpdateTrail.

  5. Sempre nel riquadro di destra, scegli Aggiungi risorsa e specifica CloudTrail e Tutte le risorse. Scegliere Add resource (Aggiungi risorsa).

    L'istruzione di policy sulla sinistra diventa simile alla seguente.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1234567890123",
            "Effect": "Deny",
            "Action": [
                "cloudtrail:AddTags",
                "cloudtrail:CreateTrail",
                "cloudtrail:DeleteTrail",
                "cloudtrail:RemoveTags",
                "cloudtrail:StartLogging",
                "cloudtrail:StopLogging",
                "cloudtrail:UpdateTrail"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  6. Scegli Crea policy.

La seconda policy definisce un elenco consentiti di tutti i servizi e le operazioni che si desiderano abilitare per utenti e ruoli nella UO Production. Al termine, gli utenti nella UO Production potranno accedere solo ai servizi e alle operazioni elencati.

AWS Management Console
Per creare la seconda policy che consente agli utenti di utilizzare i servizi approvati per la UO Production

  1. Nella pagina Service control policies (Policy di controllo dei servizi), scegli Create policy (Crea policy).

  2. In Policy name (Nome policy), inserisci Allow List for All Approved Services.

  3. Posizionare il cursore nel riquadro destro della sezione Policy e incollare una policy simile alla seguente.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1111111111111",
            "Effect": "Allow",
            "Action": [ 
                "ec2:*",
                "elasticloadbalancing:*",
                "codecommit:*",
                "cloudtrail:*",
                "codedeploy:*"
              ],
            "Resource": [ "*" ]
        }
    ]
}

  4. Scegli Crea policy.

La policy finale fornisce un elenco di rifiuto dei servizi che non possono essere utilizzati nella UO MainApp. Per questo tutorial, l'accesso ad Amazon DynamoDB viene bloccato per tutti gli account che si trovano nell'UO MainApp.

AWS Management Console
Per creare la terza policy che nega l'accesso a servizi che non possono essere utilizzati nella UO MainApp

  1. Nella pagina Service control policies (Policy di controllo dei servizi), scegli Create policy (Crea policy).

  2. In Policy name (Nome policy), inserisci Deny List for MainApp Prohibited Services.

  3. Nella sezione Policy a sinistra, seleziona Amazon DynamoDB come servizio. Per l'operazione, scegliere All actions (Tutte le operazioni).

  4. Sempre nel riquadro di sinistra, scegli Add resource (Aggiungi risorsa) e specifica DynamoDB e All Resources (Tutte le risorse). Scegliere Add resource (Aggiungi risorsa).

    L'istruzione di policy sulla destra si aggiorna e diventa simile alla seguente.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [ "dynamodb:*" ],
      "Resource": [ "*" ]
    }
  ]
}

  5. Scegliere Create policy (Crea policy) per salvare la SCP.

Collegare le SCP alle UO

Ora che le SCP esistono e sono abilitate per la root, è possibile collegarle alla root e alle UO.

AWS Management Console
Per collegare le policy alla root e alle UO

  1. Accedi alla pagina Account AWS.

  2. Nella pagina Account AWS, scegli Root (il nome, non il pulsante di opzione) per andare alla relativa pagina dei dettagli.

  3. Nella pagina dei dettagli del Root, scegli la scheda Policies (Policy) e quindi in Service Control Policies (Policy di controllo dei servizi) scegli Attach (Collega).

  4. Nella pagina Attach a service control policy (Collega una policy di controllo dei servizi), scegli il pulsante di opzione accanto alla SCP denominata Block CloudTrail Configuration Actions e quindi Attach (Collega). In questo tutorial, la policy viene collegata al root affinché venga applicata a tutti gli account membri per impedire che chiunque possa modificare la configurazione di CloudTrail.

    Nella pagina dei dettagli Root, la scheda Policies (Policy) mostra ora due SCP collegate al root: quella appena creata e la SCP FullAWSAccess predefinita.

  5. Torna a Account AWS e seleziona la casella di controllo dell'UO Production (Produzione) (il nome, non il pulsante di opzione) per passare alla rispettiva pagina dei dettagli.

  6. Nella pagina dei dettagli dell'UO Production, scegli la scheda Policies (Policy).

  7. Sotto Service Control Policies (Policy di controllo dei servizi), scegli Attach (Collega).

  8. Nella pagina Attach a service control policy (Collega una policy di controllo dei servizi), scegli il pulsante di opzione accanto a Allow List for All Approved Services e quindi Attach (Collega). In questo modo, gli utenti o i ruoli negli account membri nell'UO Production possono accedere ai servizi approvati.

  9. Seleziona di nuovo la scheda Policies per verificare che due SCP siano collegate all'UO: quella appena creata e la SCP FullAWSAccess predefinita. Tuttavia, poiché l'SCP FullAWSAccess è anche un elenco consentiti che consente l'accesso a tutti i servizi e le operazioni, ora è necessario scollegare questa SCP per far sì che vengano consentiti solo i servizi approvati.

  10. Per rimuovere la policy predefinita dall'UO Produzione, scegli il pulsante di opzione per FullAWSAccess, scegli Detach (Scollega) e quindi, nella finestra di dialogo di conferma, scegli Detach policy (Scollega policy).

    Dopo avere rimosso questa policy predefinita, tutti gli account membri nell'UO Production perderanno immediatamente la possibilità di accedere a tutte le operazioni e ai servizi che non si trovano nell'SCP dell'elenco consentiti collegata nella fase precedente. Qualsiasi richiesta di utilizzo di operazioni non incluse nell'SCP Allow List for All Approved Services (Elenco consentiti per tutti i servizi approvati) viene negata. Ciò vale anche se un amministratore in un account concede l'accesso a un altro servizio collegando una policy di autorizzazione IAM a un utente in uno degli account membri.

  11. Ora è possibile collegare l'SCP denominata Deny List for MainApp Prohibited services per evitare che qualsiasi account nell'UO MainApp possa utilizzare uno dei servizi limitati.

    A tale scopo, vai alla pagina Account AWS, scegli l'icona del triangolo per espandere il ramo Production (Produzione) dell'unità organizzativa, quindi scegli l'UO MainApp (il nome, non il pulsante di opzione) per passare ai suoi contenuti.

  12. Nella pagina dei dettagli MainApp, scegli la scheda Policies (Policy.

  13. Sotto Service Control Policies (Policy di controllo dei servizi), scegli Attach (Collega), quindi nell'elenco delle policy disponibili scegli il pulsante di opzione accanto a Deny List for MainApp Prohibited Services (Elenco non consentiti per servizi vietati MainApp) e quindi Attach policy (Collega policy).

Fase 4: Test delle policy dell'organizzazione

Adesso puoi accedere come utente in qualsiasi account membro e provare a eseguire diverse operazioni AWS:

  • Se si accede come utente nell'account di gestione, è possibile eseguire qualsiasi operazione consentita dalle policy di autorizzazione IAM. Le SCP non hanno alcun effetto su utenti o ruoli nell'account di gestione, indipendentemente dal root o dall'UO in cui si trova l'account.

  • Se si accede come utente nell'account 222222222222, è possibile eseguire tutte le operazioni consentite dall'elenco consentiti. AWS Organizations nega qualsiasi tentativo di eseguire un'operazione in qualsiasi servizio che non si trovi nell'elenco consentiti. Inoltre, AWS Organizations rifiuta qualsiasi tentativo di eseguire una delle operazioni relative alla configurazione di CloudTrail.

  • Se si accede come utente nell'account 333333333333, è possibile eseguire tutte le operazioni consentite dall'elenco consentiti e non bloccate dall'elenco non consentiti. AWS Organizations rifiuta qualsiasi tentativo di eseguire un'operazione che non è nella policy dell'elenco consentiti e qualsiasi operazione che si trova nella policy dell'elenco non consentiti. Inoltre, AWS Organizations rifiuta qualsiasi tentativo di eseguire una delle operazioni relative alla configurazione di CloudTrail.