As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Tutorial: criar e configurar uma organização
Neste tutorial, você cria sua organização e a configura com duas contas de AWS membros. Você cria uma das contas-membro em sua organização e convida outras contas para a inscrição da sua organização. Depois, você usa a técnica de [lista de permissões](orgs_manage_policies_scps_evaluation.md#how_scps_allow) para especificar que os administradores podem delegar apenas os serviços e ações listados explicitamente. Isso permite que os administradores validem qualquer novo serviço AWS introduzido antes de permitir seu uso por qualquer outra pessoa em sua empresa. Dessa forma, se AWS introduzir um novo serviço, ele permanecerá proibido até que um administrador adicione o serviço à lista de permissões na política apropriada. O tutorial também mostra como usar uma [lista de negação](orgs_manage_policies_scps_evaluation.md#how_scps_deny) para garantir que nenhum usuário em uma conta membro possa alterar a configuração dos registros de auditoria AWS CloudTrail criados.
A seguinte ilustração mostra as etapas principais do tutorial.
![\[Four-step process for creating an organization, units, policies, and testing restrictions.\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/tutorialorgs.png)
**[Etapa 1: criar sua organização](#tutorial-orgs-step1)**
Nesta etapa, você cria uma organização com sua conta atual Conta da AWS como conta de gerenciamento. Você também convida alguém Conta da AWS para se juntar à sua organização e cria uma segunda conta como conta de membro.
**[Etapa 2: criar as unidades organizacionais](#tutorial-orgs-step2)**
Em seguida, você cria duas unidades organizacionais (OUs) na sua nova organização e coloca as contas dos membros nelas OUs.
**[Etapa 3: criar as políticas de controle de serviço](#tutorial-orgs-step3)**
Você pode aplicar restrições às ações que podem ser delegadas aos usuários e funções nas contas dos membros usando [políticas de controle de serviço (SCPs)](orgs_manage_policies_scps.md). Nesta etapa, você cria dois SCPs e os anexa ao OUs em sua organização.
**[Etapa 4: testar suas políticas da organização](#tutorial-orgs-step4)**
Você pode entrar como usuário de cada uma das contas de teste e ver os efeitos que SCPs elas têm nas contas.
Nenhuma das etapas deste tutorial gera custos em sua AWS fatura. AWS Organizations é um serviço gratuito.
## Pré-requisitos
Este tutorial pressupõe que você tenha acesso a dois existentes Contas da AWS (crie um terceiro como parte deste tutorial) e que você possa entrar em cada um como administrador.
O tutorial refere-se às contas como o seguinte:
+ `111111111111` – a conta que você usa para criar a organização. Esta conta torna-se a conta gerencial. O proprietário desta conta tem um endereço de e-mail do `OrgAccount111@example.com`.
+ `222222222222` – uma conta que você convida para participar da organização como conta-membro. O proprietário desta conta tem um endereço de e-mail do `member222@example.com`.
+ `333333333333` – uma conta que você cria como um membro da organização. O proprietário desta conta tem um endereço de e-mail do `member333@example.com`.
Substitua os valores acima pelos valores associados às suas contas de teste. Recomendamos não usar contas de produção para este tutorial.
## Etapa 1: criar sua organização
Nesta etapa, você faz login na conta 111111111111 como administrador, cria uma organização com essa conta como conta gerencial e convida uma conta existente, 222222222222, para participar como uma conta-membro.
------
#### [ Console de gerenciamento da AWS ]
1. [Faça login AWS como administrador da conta 111111111111 e abra o console.AWS Organizations](https://console.aws.amazon.com/organizations/v2)
1. Na página de introdução, escolha **Create an organization (Criar uma organização)**.
1. Na caixa de diálogo de confirmação, escolha **Create Organization (Criar uma organização)**.
**nota**
Por padrão, a organização é criada com todos os recursos habilitados. Você também pode criar a organização apenas com [recursos de faturamento consolidado](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/useconsolidatedbilling-procedure.html) habilitados.
AWS cria a organização e mostra a **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**página. Se você estiver em uma página diferente, escolha **Contas da AWS** no painel de navegação à esquerda.
Se a conta que você usa nunca teve seu endereço de e-mail verificado pela AWS, um e-mail de verificação é enviado automaticamente para o endereço associado à sua conta gerencial. Talvez haja um atraso até você receber o e-mail de verificação.
1. Verifique o endereço de e-mail em 24 horas. Para obter mais informações, consulte [Verificação de endereço de e-mail com AWS Organizations](about-email-verification.md).
------
Você agora tem uma organização que tem sua conta como o único membro. Esta é a conta gerencial da organização.
### Convide uma conta atual para participar da sua organização
Agora que você tem uma organização, você pode começar a preenchê-la com contas. Nas etapas nesta seção, você convida uma conta existente para participar e se tornar um membro da sua organização.
------
#### [ Console de gerenciamento da AWS ]
**Para convidar uma conta existente para participar**
1. Navegue até a página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, e escolha **Adicionar uma Conta da AWS**.
1. Na Conta da AWS página **[Adicionar uma](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**, escolha **Convidar um existente Conta da AWS**.
1. Na caixa **Endereço de e-mail ou ID de uma Conta da AWS a ser convidada**, insira o endereço de e-mail do proprietário da conta que você deseja convidar, de forma semelhante ao seguinte: **member222@example.com**. Como alternativa, se você souber o número de Conta da AWS identificação, poderá inseri-lo.
1. Digite o texto que você deseja na caixa **Message to include in the invitation email message (Mensagem a ser incluída na mensagem de e-mail do convite)**. Esse texto é incluído no e-mail que é enviado para o proprietário da conta.
1. Escolha **Enviar convite**. AWS Organizations envia o convite para o responsável pela conta.
**Importante**
Expanda a mensagem de erro, se indicado. Se o erro indicar que você excedeu os limites da sua conta para a organização ou que não é possível adicionar uma conta porque sua organização ainda está inicializando, aguarde até uma hora depois de criar a organização e tente novamente. Se o erro persistir, entre em contato com o [AWS Support](https://console.aws.amazon.com/support/home#/).
1. Para os fins deste tutorial, você agora precisa aceitar seu próprio convite. Execute uma das seguintes ações para acessar a página **Convites** no console:
+ Abra o e-mail AWS enviado pela conta de gerenciamento e escolha o link para aceitar o convite. Quando solicitado a fazer login, faça isso como um administrador na conta-membro convidada.
+ Abra o [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2) e navegue até a página de **[Convites](https://console.aws.amazon.com/organizations/v2/home/accounts/invitations)**.
1. Na página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, escolha **Accept (Aceitar)** e depois **Confirm (Confirmar)**.
**dica**
O recebimento do convite pode demorar e, talvez, você precise aguardar para aceitar o convite.
1. Saia da sua conta-membro e faça login novamente como um administrador na sua conta gerencial.
------
### Crie uma conta de membro
Nas etapas desta seção, você cria um Conta da AWS que é automaticamente membro da organização. Chamamos essa conta no tutorial de 333333333333.
------
#### [ Console de gerenciamento da AWS ]
**Para criar uma conta-membro**
1. No AWS Organizations console, na **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**página, escolha **Adicionar Conta da AWS**.
1. Na página **[Adicionar uma Conta da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**, escolha **Criar uma Conta da AWS**.
1. Em **Nome da Conta da AWS **, insira um nome para a conta, por exemplo, **MainApp Account**.
1. Em **Email address of the account's root user (Endereço de e-mail do usuário da conta-raiz)**, digite o endereço de e-mail da pessoa que deve receber comunicações em nome da conta. Esse valor deve ser exclusivo globalmente. Não é possível que duas contas tenham o mesmo endereço de e-mail. Por exemplo, convém usar algo como **mainapp@example.com**.
1. Para **Nome da função do IAM**, você pode deixar isso em branco para usar automaticamente o nome da função padrão do `OrganizationAccountAccessRole` ou você pode fornecer o seu próprio nome. Essa função permite acessar a nova conta-membro quando conectado como um usuário do IAM na conta gerencial. Para este tutorial, deixe em branco para instruir o AWS Organizations a criar a função com o nome padrão.
1. Escolha **Criar Conta da AWS**. Você pode precisar esperar um pouco e, ao mesmo tempo, atualizar a página para a nova conta aparecer na página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**.
**Importante**
Se você receber um erro que indica que excedeu seus limites de conta para a organização ou que não pode adicionar uma conta porque sua organização ainda está inicializando, aguarde uma hora depois de criar a organização e tente novamente. Se o erro persistir, entre em contato com o [AWS Support](https://console.aws.amazon.com/support/home#/).
------
## Etapa 2: criar as unidades organizacionais
Nas etapas desta seção, você cria unidades organizacionais (OUs) e coloca suas contas de membros nelas. Quando terminar, a hierarquia será semelhante à seguinte ilustração. A conta gerencial permanece na raiz. Uma conta membro é movida para a OU de Produção e a outra conta de membro é movida para a MainApp OU, que é filha da Produção.
![\[Estrutura organizacional do tutorial mostrando produção e segurança OUs com MainApp sub-OU\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/orgs-lab-structure.jpg)
------
#### [ Console de gerenciamento da AWS ]
**Para criar e preencher o OUs**
**nota**
Nas etapas a seguir, você interage com objetos para os quais pode escolher o nome do próprio objeto ou o botão de opção ao lado do objeto.
Se escolher o nome do objeto, você abre uma nova página que exibe os detalhes dos objetos.
Se escolher o botão de opção ao lado do objeto, você estará identificando esse objeto para ser objeto de outra ação, como escolher uma opção de menu.
As etapas a seguir fazem com que você escolha o botão de opção para que possa agir sobre o objeto associado fazendo escolhas de menu.
1. No [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2) navegue até a página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**.
1. Escolha a caixa de seleção ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/checkbox-selected.png) ao lado do contêiner **Raiz**.
1. Selecione o menu suspenso **Ações**, depois, em **Unidade organizacional**, escolha **Criar nova**.
1. Na página **Create organizational unit in Root (Criar unidade organizacional na raiz)**, para o **Create organizational unit in Root (Nome da unidade organizacional)**, insira **Production** e, depois, escolha **Create organizational unit (Criar unidade organizacional)**.
1. Escolha a caixa de seleção ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/checkbox-selected.png) ao lado da nova UO de **Produção**.
1. Selecione **Actions (Ações)**, depois, em **Organizational unit (Unidade organizacional)**, escolha **Create new (Criar nova)**.
1. Na página **Create organizational unit in Root (Criar unidade organizacional na raiz)**, para o nome da segunda UO, insira **MainApp** e, depois, escolha **Create organizational unit (Criar unidade organizacional)**.
Agora você pode mover suas contas de membros para elas OUs.
1. Retorne para a página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)** e expanda a árvore em sua UO **Produção** escolhendo o triângulo ![\[Gray cloud icon with an arrow pointing downward, indicating download or cloud storage.\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/expand-icon.png) ao lado dela. Isso exibe a **MainApp**OU como filha da **Produção**.
1. Ao lado de **333333333333**, marque a caixa de seleção ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/checkbox-selected.png) (não o nome dela), escolha **Actions (Ações)** e, em **Conta da AWS**, escolha **Move (Mover)**.
1. **Na página **Mover Conta da AWS '333333333333'**, escolha o triângulo ao lado de Produção para expandi-lo.** Ao lado de **MainApp**, escolha o botão de rádio ![\[Blue circular icon with a white checkmark symbol in the center.\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/radio-button-selected.png) (não seu nome) e, em seguida, escolha **Mover Conta da AWS**.
1. Ao lado de **222222222222**, marque a caixa de seleção ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/checkbox-selected.png) (não o nome dela), escolha **Actions (Ações)** e, em **Conta da AWS**, escolha **Move (Mover)**.
1. **Na página **Mover Conta da AWS '2222222222'**, ao lado de **Produção**, escolha o botão de opção (não seu nome) e, em seguida, escolha Mover. Conta da AWS**
------
## Etapa 3: criar as políticas de controle de serviço
Nas etapas desta seção, você cria três [políticas de controle de serviço (SCPs)](orgs_manage_policies_scps.md) e as anexa à raiz e à OUs para restringir o que os usuários nas contas da organização podem fazer. O primeiro SCP impede que qualquer pessoa em qualquer uma das contas dos membros crie ou modifique AWS CloudTrail os registros que você configurar. A conta de gerenciamento não é afetada por nenhum SCP, portanto, depois de aplicar o CloudTrail SCP, você deve criar todos os registros da conta de gerenciamento.
### Habilitar o tipo de política de controle de serviço para a organização
Para poder anexar uma política de qualquer tipo a uma raiz ou a qualquer O em uma raiz, você deve habilitar o tipo de política para a organização. Os tipos de política não estão habilitados por padrão. As etapas desta seção mostram como habilitar o tipo de política de controle de serviço (SCP) para sua organização.
------
#### [ Console de gerenciamento da AWS ]
**Para habilitar SCPs para sua organização**
1. Navegue até a página **[Policies (Políticas)](https://console.aws.amazon.com/organizations/v2/home/policies)** e escolha **Service control policies (Políticas de controle de serviço)**.
1. Na página **[Service Control Policies (Políticas de controle de serviço)](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)**, escolha **Enable service control policies (Ativar políticas de controle de serviço)**.
Um banner verde aparece para informar que agora você pode criar SCPs em sua organização.
------
### Crie seu SCPs
Agora que as políticas de controle de serviço estão habilitadas em sua organização, você pode criar as três políticas necessárias para este tutorial.
------
#### [ Console de gerenciamento da AWS ]
**Para criar o primeiro SCP que bloqueia as ações CloudTrail de configuração**
1. Navegue até a página **[Policies (Políticas)](https://console.aws.amazon.com/organizations/v2/home/policies)** e escolha **Service control policies (Políticas de controle de serviço)**.
1. Na página **[Service control policies (Políticas de controle de serviço)](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)**, escolha **Create policy (Criar política)**.
1. Em **Nome da política**, insira **Block CloudTrail Configuration Actions**.
1. Na seção **Política**, na lista de serviços à direita, selecione CloudTrail o serviço. Em seguida, escolha as seguintes ações: **AddTags**CreateTrail**DeleteTrail******, **RemoveTags**, **StartLogging**, **StopLogging**,, **UpdateTrail**e.
1. Ainda no painel direito, escolha **Adicionar recurso** e especificar **CloudTrail**e **Todos os recursos**. Escolha **Add resource (Adicionar recurso)**.
A instrução de política à esquerda deve ser semelhante ao seguinte exemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1234567890123",
"Effect": "Deny",
"Action": [
"cloudtrail:AddTags",
"cloudtrail:CreateTrail",
"cloudtrail:DeleteTrail",
"cloudtrail:RemoveTags",
"cloudtrail:StartLogging",
"cloudtrail:StopLogging",
"cloudtrail:UpdateTrail"
],
"Resource": [
"*"
]
}
]
}
```
------
1. Selecione **Criar política**.
------
A segunda política define uma [lista de permissões](orgs_manage_policies_scps_evaluation.md#how_scps_allow) de todos os serviços e ações que você deseja habilitar para usuários e funções na UO de produção. Depois de você concluir, os usuários na UO de produção poderão acessar ***apenas*** os serviços e ações listados.
------
#### [ Console de gerenciamento da AWS ]
**Como criar a segunda política que permite serviços aprovados para a UO de produção**
1. Na página **[Service control policies (Políticas de controle de serviço)](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)**, escolha **Create policy (Criar política)**.
1. Em **Nome da política**, insira **Allow List for All Approved Services**.
1. Posicione o cursor no painel à direita da seção **Policy (Política)** e cole uma política como a seguinte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1111111111111",
"Effect": "Allow",
"Action": [
"ec2:*",
"elasticloadbalancing:*",
"codecommit:*",
"cloudtrail:*",
"codedeploy:*"
],
"Resource": [ "*" ]
}
]
}
```
------
1. Selecione **Criar política**.
------
A política final fornece uma [lista de negação](orgs_manage_policies_scps_evaluation.md#how_scps_deny) de serviços que estão bloqueados de serem usados na MainApp OU. Neste tutorial, você bloqueia o acesso ao Amazon DynamoDB em qualquer conta que esteja na OU. **MainApp**
------
#### [ Console de gerenciamento da AWS ]
**Para criar a terceira política que nega acesso a serviços que não podem ser usados na MainApp OU**
1. Na página **[Service control policies (Políticas de controle de serviço)](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)**, escolha **Create policy (Criar política)**.
1. Em **Nome da política**, insira **Deny List for MainApp Prohibited Services**.
1. Na seção **Policy (Política)** à esquerda, selecione **Amazon DynamoDB** para o serviço. Para a ação, escolha **All actions (Todas as ações)**.
1. Ainda no painel esquerdo, selecione **Add resource (Adicionar recurso)** e especifique **DynamoDB** e **All Resources (Todos os recursos)**. Escolha **Add resource (Adicionar recurso)**.
A instrução de política à direita é atualizada para ser semelhante ao seguinte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [ "dynamodb:*" ],
"Resource": [ "*" ]
}
]
}
```
------
1. Escolha **Create policy (Criar política)** para salvar a SCP.
------
### Anexe o SCPs ao seu OUs
Agora que eles SCPs existem e estão habilitados para sua raiz, você pode anexá-los à raiz OUs e.
------
#### [ Console de gerenciamento da AWS ]
**Para anexar as políticas à raiz e ao OUs**
1. Navegue até o página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**.
1. Na página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, escolha **Raiz** (seu nome, não o botão de opção) para navegar até a respectiva página de detalhes.
1. Na página de detalhes de **Root (Raiz)**, a guia **Policies (Políticas)** e, em **Service Control Policies (Políticas de controle de serviço)**, escolha **Attach (Anexar)**.
1. Na página **Attach a service control policy (Anexar política de controle de serviço)**, escolha o botão de seleção ao lado da SCP chamada `Block CloudTrail Configuration Actions`, depois, escolha **Attach (Anexar)**. Neste tutorial, você o anexa à raiz para que ele afete todas as contas dos membros para impedir que alguém altere a forma como você configurou CloudTrail.
A página de detalhes da **raiz**, guia **Políticas**, agora mostra que duas SCPs estão anexadas à raiz: a que você acabou de anexar e a `FullAWSAccess` SCP padrão.
1. Navegue novamente para a página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)** e escolha a UO **Produção** (o nome, não o botão de opção) para navegar até a respectiva página de detalhes.
1. Na página de detalhes da UO **Produção**, escolha a guia **Policies (Políticas)**.
1. Em **Service Control Policies (Políticas de controle de serviço)**, escolha **Attach (Anexar)**.
1. Na página **Attach a service control policy (Anexar política de controle de serviço)**, escolha o botão de seleção ao lado de `Allow List for All Approved Services`, depois, escolha **Attach (Anexar)**. Isso permite que os usuários ou funções das contas-membro na UO **Produção** acessem os serviços aprovados.
1. Escolha a guia **Políticas** novamente para ver se duas SCPs estão anexadas à OU: a que você acabou de conectar e a `FullAWSAccess` SCP padrão. No entanto, como a SCP `FullAWSAccess` também é uma lista de autorização que permite todos os serviços e ações, você deve desvincular essa SCP para garantir que apenas os serviços aprovados sejam permitidos.
1. Para remover a política padrão da OU de **produção**, escolha o botão de rádio para **Completo AWSAccess**, escolha **Desanexar** e, na caixa de diálogo de confirmação, escolha **Desanexar** política.
Depois de remover essa política padrão, todas as contas-membro na UO **Produção** perdem imediatamente o acesso a todas as ações e os serviços que não estão na SCP de lista de permissões anexada na etapa anterior. Todas as solicitações para usar ações que não estão incluídas na SCP **Allow List for All Approved Services (Lista de permissões para todos os serviços aprovados)** são negadas. Isso é válido mesmo se um administrador de uma conta conceder acesso a outro serviço anexando uma política de permissões do IAM a um usuário em uma das contas-membro.
1. Agora você pode anexar o SCP nomeado `Deny List for MainApp Prohibited services` para impedir que qualquer pessoa nas contas da MainApp OU use qualquer um dos serviços restritos.
Para fazer isso, navegue até a **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**página, escolha o ícone de triângulo para expandir a ramificação da OU de **produção** e, em seguida, escolha a **MainApp**OU (seu nome, não o botão de rádio) para navegar até seu conteúdo.
1. Na página de **MainApp**detalhes, escolha a guia **Políticas**.
1. Em **Políticas de Controle de Serviços**, escolha Anexar e, na lista de políticas disponíveis, escolha o botão de opção ao lado de **Negar Lista de Serviços MainApp Proibidos** e, em seguida, escolha **Anexar política**.
------
## Etapa 4: testar suas políticas da organização
Agora é possível [fazer login](https://docs.aws.amazon.com//signin/latest/userguide/what-is-sign-in.html) como usuário em qualquer uma das contas-membro e tentar executar várias ações da AWS :
+ Se você fizer login como um usuário na conta gerencial, poderá executar qualquer operação permitida por suas políticas de permissões do IAM. Eles SCPs não afetam nenhum usuário ou função na conta de gerenciamento, não importa em qual raiz ou OU a conta esteja localizada.
+ Se você entrar como usuário na conta 222222222222, poderá realizar qualquer ação permitida pela lista de permissões. AWS Organizations nega qualquer tentativa de realizar uma ação em qualquer serviço que não esteja na lista de permissões. Além disso, AWS Organizations nega qualquer tentativa de realizar uma das ações de CloudTrail configuração.
+ Se fizer login como usuário na conta 333333333333, você poderá executar qualquer ação permitida pela lista de permissões e não bloqueadas pela lista de negações. O AWS Organizations nega qualquer tentativa de executar uma ação que não esteja na política de lista de permissões e qualquer ação que esteja na política de lista de negações. Além disso, AWS Organizations nega qualquer tentativa de realizar uma das ações de CloudTrail configuração.