Como usar o AWS Organizations com outros Serviços da AWS
Você pode usar o acesso confiável para habilitar um serviço compatível da AWS que você especificar, chamado serviço confiável, a executar tarefas em sua organização e suas contas em seu nome. Isso requer a concessão de permissões ao serviço confiável, mas não afeta as permissões para usuários ou perfis. Quando você habilita o acesso, o serviço confiável pode criar uma função do IAM denominada função vinculada ao serviço em todas as contas de sua organização sempre que a função for necessária. Essa função tem uma política de permissões que consente que o serviço confiável realize as tarefas que estão descritas na documentação do serviço. Isso permite que você especifique configurações e detalhes de configuração que deseja que o serviço confiável mantenha nas contas de sua organização em seu nome. O serviço confiável só cria funções vinculadas ao serviço quando precisa executar ações de gerenciamento em contas, e não necessariamente em todas as contas da organização.
Importante
Recomendamos enfaticamente que, quando a opção estiver disponível, habilitar e desabilitar o acesso confiável usando somente o console do serviço confiável ou suas equivalentes de operação da AWS CLI ou API. Isso permite que o serviço confiável execute qualquer inicialização necessária ao habilitar o acesso confiável, como a criação de recursos necessários e a limpeza necessária de recursos ao desabilitar o acesso confiável.
Para obter informações sobre como habilitar ou desabilitar o acesso a serviços confiáveis para sua organização usando o serviço confiável, consulte o link Saiba mais abaixo da coluna Supports Trusted Access (Suporta ao acesso confiável) em Serviços da AWS que podem ser usados com o AWS Organizations.
Se você desabilitar o acesso usando o console do Organizations, comandos de CLI ou operações de API, isso fará com que as seguintes ações ocorram:
-
O serviço não pode mais criar uma função vinculada ao serviço nas contas de sua organização. Isso significa que o serviço não pode executar operações em seu nome em nenhuma conta nova de sua organização. O serviço ainda pode executar operações em contas mais antigas até que o serviço conclua sua limpeza a partir do AWS Organizations.
-
O serviço não pode mais executar tarefas nas contas-membro da organização, a menos que essas operações sejam explicitamente permitidas pelas políticas do IAM anexadas às suas funções. Isto inclui qualquer agregação de dados das contas-membro para a conta de gerenciamento ou para uma conta de administrador delegado, quando relevante.
-
Alguns serviços detectam isso e limpam quaisquer dados ou recursos remanescentes relacionados à integração, enquanto outros serviços param de acessar a organização, mas deixam quaisquer dados históricos e configurações implementadas, para suportar uma possível reativação da integração.
Em vez disso, usar o console ou comandos do outro serviço para desabilitar a integração garante que o outro serviço possa limpar todos os recursos necessários somente para a integração. A forma como o serviço limpa seus recursos nas contas da organização depende desse serviço. Para obter mais informações, consulte a documentação do serviço da AWS.
Permissões necessárias para habilitar o acesso confiável
O acesso confiável exige permissões para dois serviços: o AWS Organizations e o serviço confiável. Para permitir o acesso confiável, escolha um dos seguintes cenários:
-
Se você tiver credenciais com permissões no AWS Organizations e no serviço confiável, habilite o acesso usando as ferramentas (o console ou a AWS CLI) disponíveis no serviço confiável. Isso permite que o serviço confiável habilite o acesso confiável no AWS Organizations em seu nome e cria todos os recursos necessários para que o serviço opere em sua organização.
As permissões mínimas para essas credenciais são as seguintes:
-
organizations:EnableAWSServiceAccess
. Você pode usar também a chave de condiçãoorganizations:ServicePrincipal
com essa operação para restringir as solicitações que essas operações fazem a uma lista de nomes de entidades primárias de serviço aprovadas. Para ter mais informações, consulte Chaves de condição. -
organizations:ListAWSServiceAccessForOrganization
– Necessário se você usa o console do AWS Organizations. -
As permissões mínimas necessárias pelo serviço confiável dependem do serviço. Para obter mais informações, consulte a documentação do serviço confiável.
-
-
Se uma pessoa tiver credenciais com permissões no AWS Organizations, mas outra pessoa tiver credenciais com permissões no serviço confiável, realize estas etapas na seguinte ordem:
-
A pessoa que tem credenciais com permissões no AWS Organizations deve usar o console do AWS Organizations, a AWS CLI ou um SDK da AWS para permitir o acesso confiável para o serviço confiável. Isso concede permissão para que outros serviços executem sua configuração necessária na organização quando a etapa seguinte (etapa 2) é realizada.
As permissões mínimas do AWS Organizations são as seguintes:
-
organizations:EnableAWSServiceAccess
-
organizations:ListAWSServiceAccessForOrganization
– Necessário somente se você usa o console do AWS Organizations
Sobre as etapas específicas para permitir acesso confiável no AWS Organizations, consulte Como habilitar ou desabilitar o acesso confiável.
-
-
A pessoa que tem credenciais com permissões no serviço confiável permite que esse serviço funcione com o AWS Organizations. Isso instrui o serviço a realizar qualquer inicialização necessária, como a criação de recursos necessários para que o serviço confiável opere na organização. Para obter mais informações, consulte as instruções específicas do serviço em Serviços da AWS que podem ser usados com o AWS Organizations.
-
Permissões necessárias para desabilitar o acesso confiável
Quando você não quiser mais permitir que o serviço confiável opere em sua organização ou suas contas, escolha um dos seguintes cenários.
Importante
Desabilitar o acesso ao serviço confiável não impede que os usuários e as funções com permissões apropriadas usem esse serviço. Para impedir completamente que usuários e perfis acessem um serviço da AWS, você pode remover as permissões do IAM que concedem o acesso ou usar políticas de controle de serviço (SCPs) no AWS Organizations.
Você pode aplicar SCPs somente às contas-membro. As SCPs não se aplicam à conta de gerenciamento. Recomendamos que você não execute serviços na conta de gerenciamento. Em vez disso, execute-os em contas-membro, onde você pode controlar a segurança usando SCPs.
-
Se você tiver credenciais com permissões no AWS Organizations e no serviço confiável, desabilite o acesso usando as ferramentas (o console ou a AWS CLI) disponíveis para o serviço confiável. Em seguida, o serviço faz a limpeza, removendo recursos que não são mais necessários e desabilitando o acesso confiável do serviço no AWS Organizations em seu nome.
As permissões mínimas para essas credenciais são as seguintes:
-
organizations:DisableAWSServiceAccess
. Você pode usar também a chave de condiçãoorganizations:ServicePrincipal
com essa operação para restringir as solicitações que essas operações fazem a uma lista de nomes de entidades primárias de serviço aprovadas. Para ter mais informações, consulte Chaves de condição. -
organizations:ListAWSServiceAccessForOrganization
– Necessário se você usa o console do AWS Organizations. -
As permissões mínimas necessárias pelo serviço confiável dependem do serviço. Para obter mais informações, consulte a documentação do serviço confiável.
-
-
Se as credenciais com permissões no AWS Organizations não forem as credenciais com permissões no serviço confiável, realize estas etapas na seguinte ordem:
-
A pessoa com permissões no serviço confiável primeiro desabilita o acesso usando esse serviço. Isso instrui o serviço confiável a fazer a limpeza removendo os recursos necessários para o acesso confiável. Para obter mais informações, consulte as instruções específicas do serviço em Serviços da AWS que podem ser usados com o AWS Organizations.
-
A pessoa com permissões no AWS Organizations pode usar o console do AWS Organizations, a AWS CLI ou um SDK da AWS para desabilitar o acesso para o serviço confiável. Isso remove as permissões para o serviço confiável de sua organização e de suas contas.
As permissões mínimas do AWS Organizations são as seguintes:
-
organizations:DisableAWSServiceAccess
-
organizations:ListAWSServiceAccessForOrganization
– Necessário somente se você usa o console do AWS Organizations
Sobre as etapas específicas para não permitir acesso confiável no AWS Organizations, consulte Como habilitar ou desabilitar o acesso confiável.
-
-
Como habilitar ou desabilitar o acesso confiável
Se você tiver permissões somente para o AWS Organizations e quiser habilitar ou desabilitar o acesso confiável para sua organização em nome do administrador de outro serviço da AWS, use o procedimento a seguir.
Importante
Recomendamos enfaticamente que, quando a opção estiver disponível, habilitar e desabilitar o acesso confiável usando somente o console do serviço confiável ou suas equivalentes de operação da AWS CLI ou API. Isso permite que o serviço confiável execute qualquer inicialização necessária ao habilitar o acesso confiável, como a criação de recursos necessários e a limpeza necessária de recursos ao desabilitar o acesso confiável.
Para obter informações sobre como habilitar ou desabilitar o acesso a serviços confiáveis para sua organização usando o serviço confiável, consulte o link Saiba mais abaixo da coluna Supports Trusted Access (Suporta ao acesso confiável) em Serviços da AWS que podem ser usados com o AWS Organizations.
Se você desabilitar o acesso usando o console do Organizations, comandos de CLI ou operações de API, isso fará com que as seguintes ações ocorram:
-
O serviço não pode mais criar uma função vinculada ao serviço nas contas de sua organização. Isso significa que o serviço não pode executar operações em seu nome em nenhuma conta nova de sua organização. O serviço ainda pode executar operações em contas mais antigas até que o serviço conclua sua limpeza a partir do AWS Organizations.
-
O serviço não pode mais executar tarefas nas contas-membro da organização, a menos que essas operações sejam explicitamente permitidas pelas políticas do IAM anexadas às suas funções. Isto inclui qualquer agregação de dados das contas-membro para a conta de gerenciamento ou para uma conta de administrador delegado, quando relevante.
-
Alguns serviços detectam isso e limpam quaisquer dados ou recursos remanescentes relacionados à integração, enquanto outros serviços param de acessar a organização, mas deixam quaisquer dados históricos e configurações implementadas, para suportar uma possível reativação da integração.
Em vez disso, usar o console ou comandos do outro serviço para desabilitar a integração garante que o outro serviço possa limpar todos os recursos necessários somente para a integração. A forma como o serviço limpa seus recursos nas contas da organização depende desse serviço. Para obter mais informações, consulte a documentação do serviço da AWS.
AWS Organizations e funções vinculadas ao serviço
O AWS Organizations usa funções vinculadas ao serviço do IAM
Para tornar tudo isso possível, quando você criar uma conta em uma organização ou aceitar um convite para ingressar sua conta existente em uma organização, o AWS Organizations faz a provisão da conta-membro com uma função vinculada ao serviço denominada AWSServiceRoleForOrganizations
. Somente o próprio serviço do AWS Organizations pode assumir essa função. O perfil tem permissões que possibilitam que o AWS Organizations crie perfis vinculados ao serviço para outros Serviços da AWS. Essa função vinculada ao serviço está presente em todas as organizações.
Embora não seja recomendável, se sua organização tiver apenas os recursos de faturamento consolidado habilitados, a função vinculada a serviço denominada AWSServiceRoleForOrganizations
nunca será usada e você poderá excluí-la. Para habilitar posteriormente todos os recursos em sua organização, a função será necessária e deverá ser restaurada. As seguintes verificações ocorrem quando você inicia o processo para ativar todos os recursos:
-
Para cada conta-membro que foi convidada a ingressar na organização – O administrador da conta recebe uma solicitação para concordar em habilitar todos os recursos. Para aceitar a solicitação corretamente, o administrador deve ter as permissões
organizations:AcceptHandshake
eiam:CreateServiceLinkedRole
caso a função vinculada ao serviço (AWSServiceRoleForOrganizations
) ainda não exista. Se a funçãoAWSServiceRoleForOrganizations
já existir, o administrador precisa apenas da permissãoorganizations:AcceptHandshake
para concordar com a solicitação. Quando o administrador concordar com a solicitação, o AWS Organizations criará a função vinculada ao serviço, caso ela não exista. -
Para cada conta-membro que foi criada na organização – O administrador da conta recebe uma solicitação para recriar a função vinculada ao serviço. (O administrador da conta-membro não recebe uma solicitação para habilitar todos os recursos, pois o administrador da conta de gerenciamento (antes conhecida como "conta mestra") é considerado o proprietário das contas-membro criadas.) O AWS Organizations cria a função vinculada ao serviço quando o administrador da conta-membro aceita com a solicitação. O administrador deve ter as permissões
organizations:AcceptHandshake
eiam:CreateServiceLinkedRole
para aceitar com êxito o handshake.
Após ativar todos os recursos em sua organização, você não poderá mais excluir a função vinculada ao serviço AWSServiceRoleForOrganizations
de qualquer conta.
Importante
As SCPs do AWS Organizations nunca afetam as funções vinculadas a serviço. Essas funções são isentas de quaisquer restrições da SCP.