Como trabalhar com o AWS Organizations

AWS Organizations

 

O AWS Organizations é um serviço de gerenciamento de contas que permite consolidar várias contas da AWS em uma organização,  você pode criar e gerenciar centralmente.

 

No mesmo está incluso o gerenciamento de contas e recursos de cobranças consolidados, que atendem melhor as necessidades do orçamento, segurança e confiabilidade dos seus negócios.

Como administrador de uma organização, você pode criar outras contas dentro de sua organização e convidar contas já existentes.

O Organizations possuí como benefícios: gerenciar de maneira central o faturamento, controlar o acesso, segurança e compartilhar recursos entre suas contas AWS.

 

Criando e gerenciando AWS Organization

Mostraremos como criar e gerenciar uma Organization, através de um passo a passo.

 

Criando a organização e adicionando nova conta

1) Primeiro você deve acessar o AWS Console e buscar pelo serviço AWS Organizations e selecionar a opção “Create organization”, conforme imagem abaixo: 

 

2) No próximo passo é possível escolher duas opções de organizações, na primeira você cria a organization com todas suas opções e na segunda você pode criar somente com a centralização do faturamento, conforme imagem. Neste exemplo, seguiremos com a criação de todas as opções:

 

3) Após criar a organização, aparecerá a tela abaixo, com três abas, que são: Contas, Organizações e Políticas. Iremos criar uma nova conta, para isso a opção “Add account” deve ser selecionada:

 

4) A adição de um conta dentro da Organizations pode ser realizada de duas formas, uma sendo por convite, convidando alguma outra conta AWS já existente ou criar uma nova conta dentro da organização. Para este exemplo, criaremos uma nova conta:

 

5) Para criar nova conta, é necessário informar um nome, e-mail e uma IAM role, porém para IAM role você pode deixar em branco para usar automaticamente o nome da role padrão OrganizationAccountAccessRole ou então utilizar alguma outra. A role padrão permite que você acesse a nova conta membro quando estiver logado como um usuário do IAM da conta principal:

 

6) Após criar usuário, para testar você deve pegar o Account ID e selecionar a opção “Switch Role” no menu da sua conta:

 

7) Neste passo deve ser inserido o ID da conta, a role, que caso você tenha deixado em branco passar a role padrão OrganizationAccountAccessRole e definir um nome para a conta. É possível também selecionar uma cor da sua preferência:

 

8) Após feito, uma nova conta será habilitada com nada criado:

 

Criando nova unidade organizacional e atribuindo política de acesso.

1) Nos próximos passos vamos criar uma organização DEV, inserir a nova conta nessa org e liberar acesso somente ao serviço S3. Para isso, você deve retornar a conta master e ao serviço AWS Organizations, na aba “Organize accounts”, conforme imagem:

 

2) Para criar uma nova unidade organizacional, você deve criar em “New organizational unit” e informar o nome da nova unidade:

 

3) Para mover a conta a nova unidade organizacional, você deve selecionar o usuário, clicar em “Move” e selecionar a unidade, conforme imagem:

 

4) Para ativar o SCP( Service control policies) e gerenciar as permissões de uma unidade, você deve selecionar a unidade root e no menu a direita habilitar a opção selecionada na imagem:

 

5) No próximo passo você deve selecionar o menu “Policies”, selecionar a opção Service control policies e criar uma nova política de acesso:

 

6) Para criar nova política é necessário informar o nome, descrição e os parâmetros de acesso dessa nova política, conforme imagens:

 

 

 

7) Após realizado, você deve anexar essa política na unidade DEV. Para isso deve acessar a unidade, no menu a direita entrar na opção “Service Control Police”, desativar a política de acesso full e ativar a nova política de acesso somente ao S3:

 

8) Realizado todos os passos, para testar se a política funcionou, você pode acessar o usuário e tentar acessar algum outro serviço. Como teste neste exemplo, tentamos criar uma instância EC2 e retornou a mensagem que não tenho permissão, conforme imagem:

 

Neste artigo mostramos algumas funcionalidades do serviço AWS Organizations, espero que tenham gostado, até o próximo artigo.