O que é AWS Organizations?
O AWS Organizations permite gerenciar múltiplas contas AWS como uma unidade. Em vez de ter contas isoladas e independentes, você as organiza em uma hierarquia com políticas centralizadas, faturamento unificado e controles de segurança aplicados em escala.
É o serviço fundamental para empresas que adotam uma estratégia multi-account — separando ambientes (dev/prod), times, projetos ou unidades de negócio em contas distintas.
Root (raiz da organização)
└── Management Account (conta pagadora)
├── OU: Produção
│ ├── Conta: App A
│ └── Conta: App B
├── OU: Desenvolvimento
│ ├── Conta: Dev Team 1
│ └── Conta: Dev Team 2
└── OU: Segurança
└── Conta: Log Archive
Conceitos Fundamentais
- Management Account (Master Account): conta que cria e gerencia a organização. Paga por todas as contas. Tem acesso total.
- Member Accounts: contas membros da organização. Podem ser criadas dentro da org ou convidadas.
- Root: nó raiz da hierarquia — contém todas as OUs e contas.
- Organizational Unit (OU): agrupamento lógico de contas. Pode conter outras OUs (hierarquia em árvore).
- SCP (Service Control Policy): política que define o máximo de permissões que contas e OUs podem ter.
Service Control Policies (SCPs)
As SCPs são o recurso mais importante do Organizations para o exame. Elas funcionam como um filtro de permissões aplicado em toda a hierarquia:
- SCPs não concedem permissões — apenas limitam o que as políticas IAM podem fazer
- Uma ação só é permitida se estiver permitida tanto na SCP quanto na política IAM
- SCPs se aplicam a todos os usuários e roles da conta, incluindo o root da conta
- A Management Account não é afetada por SCPs
- SCPs são herdadas — uma SCP na OU pai se aplica a todas as contas filhas
SCP na OU: Deny s3:DeleteBucket
↓ aplica para todas as contas da OU
Conta membro: mesmo que o admin IAM tente deletar um bucket
→ a ação é NEGADA pela SCP
Consolidated Billing (Faturamento Consolidado)
Todas as contas da organização têm seus custos consolidados em uma única fatura na Management Account. Benefícios:
- Visibilidade centralizada: um único lugar para ver todos os gastos
- Volume discounts: o uso de todas as contas é somado para calcular descontos por volume (S3, EC2, etc.)
- Reserved Instances compartilhadas: RIs não utilizadas em uma conta podem ser aplicadas em outras contas da org
- Savings Plans compartilhados: mesma lógica das RIs
Benefícios de uma Estratégia Multi-Account
| Benefício | Descrição |
|---|---|
| Isolamento de blast radius | Um incidente em uma conta não afeta outras. Falha em dev não impacta prod. |
| Limites de serviço separados | Cada conta tem seus próprios limites de serviço (quotas). Evita que um time consuma os recursos de outro. |
| Compliance e auditoria | Contas separadas para workloads regulados (PCI, HIPAA) com controles específicos. |
| Governança centralizada | SCPs garantem que nenhuma conta viole políticas corporativas. |
Serviços Relacionados
- AWS Control Tower: configura e governa um ambiente multi-account seguindo as melhores práticas da AWS (Landing Zone). Usa Organizations por baixo.
- AWS RAM (Resource Access Manager): compartilha recursos (subnets, Transit Gateway, etc.) entre contas da organização.
- AWS Config: aplica regras de conformidade em todas as contas via Organizations.
- CloudTrail: cria uma trilha de auditoria que cobre todas as contas da organização.
⭐ Pontos Importantes para o Exame
- SCPs limitam permissões — não concedem. Funcionam como teto máximo de permissões.
- SCPs afetam todos na conta, incluindo o root — exceto a Management Account
- Consolidated Billing = uma fatura para todas as contas + descontos por volume compartilhados
- OU = agrupamento lógico de contas para aplicar políticas em conjunto
- Reserved Instances e Savings Plans são compartilhados entre contas da org
- Control Tower usa Organizations para criar Landing Zones com guardrails automáticos
- Organizations é gratuito — você paga apenas pelos recursos nas contas membros
- Estratégia multi-account: isolamento, limites separados, compliance e governança centralizada