As contas da AWS são limites naturais para permissão, segurança, custos e cargas de trabalho. Usar um ambiente com várias contas é uma melhor prática recomendada ao dimensionar seu ambiente de nuvem. Você pode simplificar a criação de contas criando novas contas programaticamente com a interface de linha de comandos (CLI), os SDKs ou as APIs da AWS, e provisionar permissões e recursos recomendados de maneira centralizada às contas com AWS CloudFormation StackSets.
À medida que você cria novas contas, pode agrupá-las em unidades organizacionais (UOs) ou em grupos de contas que servem como uma única aplicação ou serviço. Aplique políticas de tags para classificar ou monitorar recursos em sua organização e forneça controle de acesso baseado em atributos para usuários ou aplicações. Além disso, você pode delegar a responsabilidade de serviços da AWS compatíveis para contas, assim os usuários podem gerenciá-los em nome de sua organização.
Você pode fornecer ferramentas e acesso de maneira centralizada para sua equipe de segurança gerenciar as necessidades de segurança em nome da organização. Por exemplo, é possível fornecer acesso de segurança somente leitura em várias contas, detectar e mitigar ameaças com o Amazon GuardDuty, analisar acesso não intencional a recursos com o IAM Access Analyzer e proteger dados confidenciais com o Amazon Macie.
Configure o Centro de Identidade do AWS IAM para fornecer acesso a contas e recursos da AWS usando seu diretório ativo e personalize as permissões com base em cargos distintos. Também é possível aplicar políticas de controle de serviço (SCPs) a usuários, contas ou OUs para controlar o acesso a recursos, serviços e regiões da AWS em sua organização.
Você pode compartilhar recursos da AWS dentro da organização usando o AWS Resource Access Manager (RAM). Por exemplo, é possível criar sub-redes da nuvem privada virtual (VPC) da AWS uma vez e compartilhá-las em toda a organização. Também é possível aceitar licenças de software de maneira centralizada com o AWS License Manager e compartilhar um catálogo de serviços de TI e produtos personalizados entre contas com o AWS Service Catalog.
Você pode aplicar políticas declarativas para impor intenções duradouras, como a configuração de linha de base de um produto da AWS em toda a organização. Depois de anexar uma política declarativa, a configuração é mantida quando novos recursos e API são adicionados e aplicados, independentemente do contexto de autorização.
Você pode ativar o AWS CloudTrail em várias contas, o que cria um log de toda a atividade no ambiente de nuvem que não pode ser desativado ou modificado por contas de membros. Além disso, você pode definir políticas para aplicar backups na cadência especificada com o AWS Backup ou definir configurações recomendadas para recursos em várias contas e regiões da AWS com o AWS Config.
O Organizations fornece uma única fatura consolidada. Além disso, é possível visualizar a utilização dos recursos em várias contas e monitorar custos usando o Explorador de Custos da AWS, e ainda otimizar o uso dos recursos de computação usando o AWS Compute Optimizer.