Domande frequenti su AWS Organizations

Domande generali

AWS Organizations ti aiuta a centralizzare la gestione del tuo ambiente al fine di ottimizzare la scalabilità dei tuoi carichi di lavoro su AWS. Se gestisci una startup o una grande impresa, Organizations ti aiuta a creare in modo programmatico nuovi account e ad allocare risorse, semplificare la fatturazione impostando un unico metodo di pagamento per tutti gli account, creare gruppi di account per organizzare i flussi di lavoro e applicare delle policy per la governance di questi gruppi. Inoltre, AWS Organizations è integrato con altri servizi AWS, quindi permette di definire configurazioni a livello centrale, meccanismi di sicurezza e condivisione di risorse in tutti gli account dell'azienda.

AWS Organizations consente le seguenti funzionalità:

  • Automatizzazione della gestione e della creazione di account AWS e provisioning delle risorse con gli StackSet di AWS CloudFormation
  • Mantenimento di un ambiente sicuro grazie alle policy e alla gestione dei servizi di sicurezza di AWS
  • Gestione dell'accesso a servizi, risorse e regioni AWS
  • Gestione centralizzata di policy su più account AWS
  • Audit dell'ambiente per la conformità 
  • Visualizzazione e gestione dei costi grazie alla fatturazione consolidata 
  • Configurazione dei servizi AWS su più account

AWS Organizations è disponibile in tutte le regioni commerciali AWS, nelle regioni AWS GovCloud (Stati Uniti) e della Cina Gli endpoint di servizio di AWS Organizations si trovano negli Stati Uniti orientali (Virginia settentrionale) per le organizzazioni commerciali e in AWS GovCloud (Stati uniti-Ovest) per le organizzazioni AWS GovCloud (Stati Uniti) e la regione AWS Cina (Ningxia), gestita da NWCD.

Per iniziare, è necessario innanzitutto decidere quale account AWS diventerà il management account (precedentemente chiamato "account master"). È possibile creare un nuovo account AWS o selezionarne uno esistente.

  1. Registrati come amministratore nella Console di gestione AWS utilizzando l'account AWS che desideri utilizzare per gestire l'organizzazione.
  2. Vai alla console di AWS Organizations.
  3. Seleziona Crea organizzazione.
  4. Seleziona quali caratteristiche desideri abilitare per la tua organizzazione. Puoi abilitare tutte le funzionalità oppure solo le caratteristiche di fatturazione consolidata. Consigliamo di selezionare tutte le caratteristiche per sfruttare tutte le funzionalità di gestione centrale di AWS Organizations.
  5. Aggiungi gli account AWS all'organizzazione in uno dei due seguenti modi: 
    1. Invita un account AWS esistente ad entrare a far parte dell'organizzazione utilizzando il proprio account ID AWS o l'indirizzo e-mail associato.
    2. Crea un nuovo account AWS.
  6. Ordina la gerarchia dell'organizzazione raggruppando account AWS in unità organizzative.
  7. Crea delle policy (come le policy di controllo dei servizi o le policy di backup) per le unità organizzative, gli account o le organizzazioni (disponibile solo per le organizzazioni con tutte le funzionalità).
  8. Abilita i servizi AWS che sono attualmente integrati con AWS Organizations.

Puoi inoltre utilizzare l'interfaccia della linea di comando AWS (per l'accesso alla linea di comando) o i kit SDK per seguire gli stessi passaggi e creare una nuova organizzazione.

Nota: la creazione di una nuova organizzazione può essere avviata solo da un account AWS che non sia già membro di un'altra organizzazione.

Per ulteriori informazioni, consulta Nozioni di base su AWS Organizations.

AWS Control Tower

AWS Control Tower, integrata in servizi AWS come AWS Organizations, è il modo più semplice per configurare e governare un ambiente AWS multi-account nuovo e sicuro. Stabilisce una landing zone, ovvero un ambiente multi-account well-architected basato sulle best practice, e permette la governance utilizzando guardrail a scelta. I guardrail sono policy di controllo dei servizi e delle risorse e regole AWS Config che implementano la governance per la sicurezza, la conformità e le operazioni.

AWS Control Tower offre un'esperienza astratta, automatizzata e prescrittiva in aggiunta ad AWS Organizations. Imposta automaticamente AWS Organizations come servizio AWS sottostante per organizzare gli account e implementare guardrail preventivi utilizzando SCP e RCP. Control Tower e Organizations funzionano perfettamente insieme. Puoi utilizzare Control Tower per impostare l'ambiente e i guardrail e poi, con AWS Organizations, puoi creare policy personalizzate (come i tag, il backup e le policy di controllo dei servizi) che controllino centralmente l'uso dei servizi e delle risorse AWS su più account AWS.

I guardrail sono policy di controllo dei servizi predefinite e regole di governance di AWS Config per la sicurezza, le operazioni e la conformità che i clienti possono selezionare e applicare a livello aziendale o per specifici gruppi di account. Un guardrail è espresso in inglese e rafforza una policy specifica di governance per l'ambiente AWS che può essere abilitato all'interno dell'unità organizzativa.

AWS Control Tower è utile per i clienti che vogliono creare e gestire degli ambienti AWS multi-account con best practice integrate. Offre una guida prescrittiva per gestire l'ambiente AWS su larga scala e permette di controllare tale ambiente senza sacrificare la velocità e l'agilità fornite da AWS agli utenti. AWS Control Tower è il prodotto che fa per te se stai creando un nuovo ambiente AWS o iniziando un percorso in AWS o un nuovo progetto nel cloud, se non conosci AWS o se hai già un ambiente multi-account in AWS.

Concetti fondamentali

Un'organizzazione è un insieme di account AWS che possono essere disposti in una gerarchia e gestiti in modo centralizzato.

Un account AWS è un contenitore per risorse AWS. Quando crei e gestisci risorse in un account AWS, questo fornisce le funzioni di amministrazione che consentono accesso e fatturazione.

L'utilizzo di più account AWS è una best practice per il dimensionamento dell'ambiente perché fornisce un limite di fatturazione naturale per i costi, isola le risorse per la sicurezza, offre flessibilità ai singoli e ai team ed è adattabile ai nuovi processi aziendali.

Un management account è l'account AWS usato per creare l'organizzazione. Tramite il management account, puoi creare altri account all'interno dell'organizzazione, inviare e gestire inviti agli altri account per farli entrare a far parte dell'organizzazione e rimuovere account dalla tua organizzazione. Puoi anche applicare policy a entità quali root di amministrazione, unità organizzative o account all'interno dell'organizzazione. Il management account è il proprietario principale dell'organizzazione e ha il controllo finale sulla sicurezza, l'infrastruttura e le policy finanziarie. Questo account ha inoltre il ruolo di account di pagamento ed è pertanto responsabile per il pagamento di tutti i costi accumulati dagli account dell'organizzazione. Non è possibile cambiare il management account designato di un'organizzazione.

Un account membro è un account AWS che fa parte dell'organizzazione, ma è diverso dal management account. Se sei un amministratore di un'organizzazione, puoi creare account membro al suo interno e invitarvi account esistenti. Puoi anche applicare policy agli account membri. Un account membro può far parte di una sola organizzazione alla volta.

Un root di amministrazione si trova all'interno di un management account ed è la base da cui vengono organizzati gli account AWS. Il livello root di amministrazione è il contenitore più elevato nella gerarchia di un'organizzazione. Sotto il root è possibile creare unità organizzative che raggruppino account secondo logiche specifiche, organizzando tali unità in gerarchie secondo le esigenze aziendali.

Un'unità organizzativa è un gruppo di account AWS all'interno di un'organizzazione. Un'unità organizzativa può contenere a sua volta altre unità organizzative secondo una specifica gerarchia. Ad esempio, puoi raggruppare tutti gli account che appartengono allo stesso reparto aziendale o alla stessa unità organizzativa di reparto. Analogamente, puoi raggruppare tutti gli account che eseguono servizi di sicurezza in un'unità organizzativa di sicurezza. Le unità organizzative sono utili quando è necessario applicare gli stessi controlli a un sottoinsieme di account. Le unità organizzative annidate consentono un ulteriore livello di gestione. Ad esempio, puoi creare unità organizzative per ogni carico di lavoro e poi creare due unità organizzative annidate in ogni unità organizzativa del carico di lavoro per dividere i carichi relativi alla produzione già dalla fase precedente alla produzione. Queste unità potranno beneficiare di policy specifiche ed erediteranno quelle dall'unità superiore.

Una policy è un "documento" con una o più istruzioni che definiscono i controlli da applicare a un gruppo di account AWS. AWS Organizations supporta le seguenti policy:

  • Policy di backup, che richiedono AWS Backup a cadenza specifica
  • Policy dei tag, che definiscono le chiavi e i valori dei tag permessi
  • Policy di opt-out dei servizi di intelligenza artificiale, che controllano l'archiviazione e l'utilizzo dei contenuti da parte dei servizi di intelligenza artificiale
  • Policy di controllo dei servizi (SCP), che definisce i comandi dei servizi AWS disponibili nei diversi account di un'organizzazione, ad esempio il metodo RunInstances di Amazon EC2.

Organizzazione degli account AWS

Tutte le entità di un'organizzazione sono accessibili a livello globale, eccetto le organizzazioni gestite in Cina, come succede per AWS Identity and Access Management (IAM). Non c'è bisogno di specificare una regione AWS durante la creazione e la gestione dell'organizzazione, ma bisogna creare un'organizzazione separata per gli account utilizzati in Cina. Gli utenti negli account AWS ne utilizzeranno i servizi in qualsiasi regione geografica siano disponibili.

No. Non è possibile cambiare il management account di AWS dopo che è stato designato. Pertanto, è molto importante scegliere oculatamente il management account.

Sono disponibili due metodi per aggiungere un account AWS a un'organizzazione:

Metodo 1: invitare un account esistente a entrare a far parte dell'organizzazione

1. Registrati come amministratore del management account e apri la console di AWS Organizations.

2. Seleziona la scheda Accounts.

3. Seleziona Add account, quindi Invite account.

4. Digita l'indirizzo e-mail oppure l'ID account dell'account che desideri invitare.

Nota: puoi invitare più di un account AWS alla volta digitando un elenco di indirizzi e-mail o ID account AWS separati da virgole.

L'account AWS specificato riceverà un'e-mail di invito all'organizzazione. La richiesta dovrà essere accettata o rifiutata da un amministratore dell'account AWS invitato, tramite console di AWS Organizations, interfaccia a riga di comando di AWS o API di Organizations. Se l'amministratore accetta l'invito, l'account diventa visibile nell'elenco di account membri dell'organizzazione. Al nuovo account saranno applicate automaticamente tutte le policy collegate, ad esempio le policy di controllo dei servizi. Se un'organizzazione dispone di policy di controllo di servizi collegate a livello root, verranno automaticamente applicate a tutti i nuovi account.

Metodo 2: creare un account AWS nell'organizzazione

1. Registrati come amministratore del management account e apri la console di AWS Organizations.

2. Seleziona la scheda Accounts.

3. Seleziona Add account, quindi Create account.

4. Digita nome e indirizzo e-mail del nuovo account.

Per creare un account, puoi anche usare il kit SDK AWS o l'interfaccia a riga di comando. In entrambi i casi, dopo aver creato il nuovo account potrai trasferirlo all'interno di un'unità organizzativa. Il nuovo account erediterà automaticamente le policy della relativa unità.

No. Un account AWS può far parte di una sola organizzazione alla volta.

Durante la creazione dell'account, AWS Organizations creerà un ruolo IAM con autorizzazioni di amministratore complete nel nuovo account. Gli utenti e i ruoli IAM con le autorizzazioni appropriate nell'account master potranno assumere il ruolo IAM necessario per ottenere l'accesso all'account appena creato.

No. Questa caratteristica non è al momento supportata.

Sì. Tuttavia, è necessario prima rimuovere l'account dall'organizzazione e renderlo un account indipendente (vedi di seguito). A seguito di questa operazione, l'account può essere invitato ad unirsi a un'altra organizzazione.

Sì. Quando crei un account in un'organizzazione utilizzando la console AWS Organizations, API o comandi CLI, AWS non raccoglie tutte le informazioni necessarie degli account indipendenti. Per ciascun account che desideri rendere autonomo, è necessario aggiornare queste informazioni, che possono includere: specifica delle informazioni di contatto, inserimento di un metodo di pagamento valido e scelta di un'opzione di piano di supporto. AWS impiegherà il metodo di pagamento fornito per addebitare tutti i costi delle attività AWS non incluse nel piano gratuito fatturati mentre l'account non è collegato ad alcuna organizzazione. Per ulteriori informazioni, consulta Rimozione di un account membro dall'organizzazione.

Un numero variabile. Se occorrono più account, accedi al Centro di Supporto AWS e apri un caso di supporto per richiedere l'aumento del limite.

È possibile rimuovere un account membro in due modi. Per completare l'operazione su un account creato con Organizations, potrebbe essere necessario fornire informazioni aggiuntive. Se il tentativo di rimuovere un account non va a buon fine, accedi al Centro di Supporto AWS e chiedi assistenza.

Metodo 1: rimuovere un account membro aggiunto tramite invito accedendo al management account

1. Registrati come amministratore dell'account master e apri la console di AWS Organizations.

2. Nel riquadro a sinistra, seleziona Account.

3. Scegli l'account che desideri rimuovere, quindi seleziona Rimuovi account.

4. Se l'account non ha alcun metodo di pagamento valido, è necessario fornirne uno.

Metodo 2: rimuovere un account membro aggiunto tramite invito accedendo all'account membro

1. Accedi come amministratore di un account membro che desideri rimuovere dall'organizzazione.

2. Vai alla console di AWS Organizations.

3. Seleziona *Lascia l'organizzazione*.

4. Se l'account non ha alcun metodo di pagamento, è necessario fornirne uno.

Per creare un'unità organizzativa, segui la procedura indicata di seguito:

1. Registrati come amministratore del management account e apri la console di AWS Organizations.

2. Seleziona la scheda Organizza account.

3. Apri la gerarchia nel punto in cui desideri creare l'unità organizzativa. È possibile crearla direttamente a livello root oppure all'interno di un'altra unità.

4. Seleziona Crea unità organizzativa e digita un nome per l'unità. Il nome deve essere univoco all'interno dell'organizzazione.

Nota: l'unità organizzativa può essere rinominata in un secondo momento.

È quindi possibile aggiungere account AWS all'unità. Per creare e gestire unità organizzative puoi anche utilizzare l'interfaccia a riga di comando e le API di AWS.

Segui queste istruzioni per aggiungere account membri a un'unità organizzativa:

1. Nella console di AWS Organizations, seleziona la scheda Organize accounts.

2. Seleziona l'account AWS, quindi Move account.

3. Nella casella di dialogo, seleziona l'unità organizzativa a cui desideri aggiungere l'account AWS.

In alternativa, per aggiungere account a un'unità organizzativa puoi usare l'interfaccia a riga di comando e le API di AWS.

No. Un account AWS può far parte di una sola unità organizzativa alla volta.

No. Un'unità organizzativa può far parte di una sola unità organizzativa alla volta.

Possono essere presenti fino a cinque livelli di unità organizzative. Tale conteggio include il livello root e gli account AWS nel livello più basso.

Gestione del controllo

Puoi collegare policy a livello root dell'organizzazione per applicarle a tutti gli account al suo interno, a singole unità organizzative per applicarle a tutti gli account all'interno dell'unità, incluse quelle annidate, oppure a singoli account.

Sono disponibili due modi per collegare una policy:

  • Nella console di AWS Organizations, individua il livello a cui desideri applicare la policy (a livello root, di unità organizzativa o di account) e seleziona Collega policy.
  • Nella console di Organizations, seleziona la scheda Policy, quindi esegui una delle seguenti azioni:
    Scegli una policy esistente, quindi seleziona Collega policy dal menu a discesa Operazioni e seleziona a quale livello desideri applicare la policy (root, unità organizzativa o account).
  • Scegli Crea policy, quindi, durante il flusso di lavoro per la creazione della policy, scegli un livello (root, unità organizzativa o account) a cui applicare la nuova policy.

Per ulteriori informazioni, consulta Gestione delle policy.

Sì. Ad esempio, supponiamo di aver disposto gli account AWS in unità organizzative secondo le fasi di sviluppo di un'applicazione: DEV, TEST e PROD. La policy P1 è collegata all'organizzazione, la policy P2 all'unità organizzativa DEV e la policy P3 all'account AWS A1 nella unità DEV. Secondo questa configurazione, P1+P2+P3 vengono tutte applicate all'account A1.
Per ulteriori informazioni, consulta informazioni sulle policy di controllo dei servizi.

Attualmente, AWS Organizations supporta le seguenti policy:

  • Policy di backup, che richiedono backup a cadenza specifica utilizzando AWS Backup
  • Policy dei tag, che definiscono le chiavi e i valori dei tag permessi
  • Policy di opt-out dei servizi di intelligenza artificiale, che controllano l'archiviazione e l'utilizzo dei contenuti da parte dei servizi di intelligenza artificiale nell'organizzazione
  • Policy di controllo dei servizi (SCP), che definiscono e applicano i comandi che utenti, gruppi e ruoli IAM possono eseguire negli account a cui si applicano

Le policy di controllo dei servizi permettono di controllare quali operazioni di servizi AWS sono consentite alle entità (account root, utenti IAM e ruoli IAM) negli account dell'organizzazione. La policy di controllo di servizi è necessario, ma non è l'unico fattore che determina quali entità in un account possono autorizzare l'accesso da parte di altre entità alle risorse. L'autorizzazione effettiva per un'entità collegata a una policy di controllo dei servizi viene garantita solo se i comandi esplicitamente consentiti dalla policy coincidono con i comandi esplicitamente consentiti dalle autorizzazioni collegate all'entità. Ad esempio, se una policy di controllo dei servizi applicata a un account stabilisce che gli unici comandi consentiti sono quelli di Amazon EC2, e le autorizzazioni collegate a un'entità nello stesso account AWS permettono comandi di EC2 e di Amazon S3, l'entità potrà accedere solo ai comandi di EC2.
Le entità in un account membro (incluso il relativo utente root) non potranno rimuovere o modificare le policy applicate a tale account.  

Le policy di controllo dei servizi seguono le stesse regole e la stessa grammatica delle policy IAM. Per informazioni sulla sintassi delle policy di controllo dei servizi, consulta Sintassi delle SCP. Per esempi sulle policy di controllo dei servizi, consulta Esempi di policy di controllo dei servizi.  

 "Version":"2012-10-17", 

 "Statement":[ 

 { 

 "Effect":"Allow", 

 "Action":["EC2:*","S3:*"], 

 "Resource":"*" 

 } 

 ] 

 }

Esempio di blacklist
La seguente policy di controllo di servizi consente l'accesso a tutti i comandi dei servizi AWS eccetto al comando PutObject di S3. Tutte le entità (account root, utente IAM e ruolo IAM) che abbiano autorizzazioni adatte assegnate direttamente e che si trovino in un account a cui è applicata questa policy potranno accedere a tutti i comandi tranne al comando PutObject di S3. 

 "Version":"2012-10-17", 

 "Statement":[ 

 { 

 "Effect":"Allow", 

 "Action": "*:*", 

 "Resource":"*" 

 }, 

 { 

 "Effect":"Deny", 

 "Action":"S3:PutObject", 

 "Resource":"*" 

 } 

 ] 

 }

Per altri esempi, consulta Strategie per l'uso delle policy di controllo dei servizi.

No. Le policy di controllo dei servizi si comportano esattamente come le policy di IAM: una policy vuota equivale a un rifiuto per default. Collegare una policy di controllo di servizi a un account è l'equivalente di collegare una policy che nega esplicitamente l'accesso a tutti i comandi.

Le autorizzazioni effettive concesse a un'entità (account root, utenti IAM e ruoli IAM) in un account AWS a cui è applicata una policy di controllo dei servizi sono definite come l'intersezione tra le autorizzazioni fornite dalla policy di controllo dei servizi e quelle fornite all'entità dalle policy di IAM. Se ad esempio un utente di IAM ha "Allow": "ec2:* " e "Allow": "sqs:* ", e la policy di controllo di servizi collegata ha "Allow": "ec2:* " e "Allow": "s3:* ", le autorizzazioni risultanti sono "Allow": "ec2:* ". L'entità non potrà eseguire alcuna operazione con Amazon SQS (non consentito dalla policy di controllo) o S3 (non consentito dalle policy di IAM).

Sì, il simulatore di policy di IAM include gli effetti di policy di controllo dei servizi. Se lo utilizzi con un account membro nell'organizzazione, permette di vedere gli effetti su entità singole nell'account. Un amministratore in un account membro con le necessarie autorizzazioni di AWS Organizations potrà verificare in che modo una policy di controllo di servizi incida sugli accessi per le entità (account root, utente IAM e ruolo IAM) in un account membro
Per ulteriori informazioni, consulta Policy di controllo dei servizi.

Sì. La decisione su quali policy applicare spetta a te. Ad esempio puoi creare un'organizzazione con il solo scopo di usufruire della funzionalità di fatturazione consolidata. In questo modo avrai a disposizione un account di pagamento unico per tutti gli account nell'organizzazione e riceverai automaticamente i vantaggi dello scaglione tariffario di default.

Una policy di controllo delle risorse (RCP) è una policy di AWS Organizations che può essere utilizzata per definire e applicare controlli preventivi sulle risorse AWS dell'organizzazione. Tramite le RCP è possibile definire centralmente le autorizzazioni massime disponibili per le risorse AWS mentre si scalano i carichi di lavoro su AWS. Ad esempio, una RCP può limitare l'accesso alle risorse affinché solo le identità appartenenti all'organizzazione possano accedervi oppure specificare le condizioni alle quali le identità esterne all'organizzazione possono accedere alle risorse.

Per vedere alcuni esempi di RCP, consulta le pagine relative alla documentazione. Tra gli esempi generali di RCP troviamo:

Le SCP e le RCP sono indipendenti l'una dall'altra. Puoi scegliere di abilitare solo le SCP o le RCP, ma anche di utilizzare entrambi i tipi di policy insieme. Le SCP consentono il numero massimo di autorizzazioni disponibili per gli utenti e i ruoli IAM negli account membri. Puoi utilizzare una SCP quando vuoi applicare centralmente controlli di accesso coerenti sui principali nell'organizzazione. Questo permette di specificare a quali servizi AWS e a quali risorse possono accedere gli utenti e i ruoli o quali sono le condizioni necessarie per effettuare richieste (ad esempio, da regioni o reti specifiche). Le RCP consentono di limitare il numero massimo di autorizzazioni disponibili per le risorse di un'organizzazione. Puoi utilizzare una RCP quando vuoi applicare centralmente controlli di accesso coerenti sulle risorse nell'organizzazione. Ad esempio, puoi limitare gli utenti che dispongono delle autorizzazioni per accedere alle risorse o imporre requisiti sulle modalità di accesso a tali risorse (ad esempio, consentendo l'accesso solo tramite connessioni crittografate su HTTPS). Puoi inoltre specificare i controlli che si applicano alle risorse dei servizi AWS che supportano le RCP (ad esempio, tutti i bucket S3). 

Fatturazione

AWS Organizations è disponibile senza costi aggiuntivi.

La responsabilità economica per l'utilizzo, i dati e le risorse degli account nell'organizzazione appartiene al proprietario del management account.

No. Per ora la struttura definita in un'organizzazione non si rifletterà nella fattura. Per suddividere in categorie e monitorare i costi di AWS è possibile assegnare ai singoli account AWS tag di allocazione dei costi, che saranno visibili nelle fatture consolidate.

Servizi AWS integrati

I servizi AWS sono stati integrati con AWS Organizations per fornire ai clienti una gestione e una configurazione centralizzata tra gli account della loro organizzazione. Questo consente di gestire i servizi di tutti gli account da un'unica postazione, semplificando l'implementazione e le configurazioni.

Per un elenco dei servizi AWS integrati con AWS Organizations, consulta Servizi AWS che puoi utilizzare con AWS Organizations.

Per iniziare a utilizzare un servizio AWS integrato con AWS Organizations, accedi a tale servizio nella console di gestione AWS e abilita l'integrazione.