Perangkat fitur yang tersedia Struktur organisasi Undangan dan jabat tangan Kebijakan organisasi

Terminologi dan konsep untuk AWS Organizations

Topik ini menjelaskan beberapa konsep kunci untuk AWS Organizations.

Diagram berikut menunjukkan organisasi yang terdiri dari lima akun yang disusun menjadi empat unit organisasi (OUs) di bawah root. Organisasi juga memiliki beberapa kebijakan yang melekat pada beberapa OUs atau langsung ke akun.

Untuk deskripsi masing-masing item ini, lihat definisi dalam topik ini.

Perangkat fitur yang tersedia

Semua fitur (Disarankan)

Semua fitur adalah set fitur default yang tersedia untuk AWS Organizations. Anda dapat menetapkan kebijakan pusat dan persyaratan konfigurasi untuk seluruh organisasi, membuat izin atau kemampuan khusus dalam organisasi, mengelola dan mengatur akun Anda di bawah satu tagihan, dan mendelegasikan tanggung jawab ke akun lain atas nama organisasi. Anda juga dapat menggunakan integrasi dengan yang lain Layanan AWS untuk menentukan konfigurasi pusat, mekanisme keamanan, persyaratan audit, dan berbagi sumber daya di semua akun anggota di organisasi Anda. Untuk informasi selengkapnya, lihat Menggunakan AWS Organizations dengan yang lain Layanan AWS.

Semua mode fitur menyediakan semua kemampuan penagihan konsolidasi bersama dengan kemampuan administratif.

Penagihan terkonsolidasi

Penagihan konsolidasi adalah kumpulan fitur yang menyediakan fungsionalitas penagihan bersama, tetapi tidak menyertakan fitur yang lebih canggih. AWS Organizations Misalnya, Anda tidak dapat mengaktifkan AWS layanan lain untuk diintegrasikan dengan organisasi Anda untuk bekerja di semua akunnya, atau menggunakan kebijakan untuk membatasi apa yang dapat dilakukan pengguna dan peran di akun yang berbeda.

Anda dapat mengaktifkan semua fitur untuk organisasi yang awalnya hanya mendukung fitur penagihan gabungan. Untuk mengaktifkan semua fitur, semua akun anggota diundang harus menyetujui perubahan dengan menerima undangan yang dikirim ketika akun manajemen mulai proses. Untuk informasi selengkapnya, lihat Mengaktifkan semua fitur untuk organisasi dengan AWS Organizations.

Struktur organisasi

Organisasi

Organisasi adalah kumpulan yang dapat Anda kelola secara terpusat dan mengaturnya menjadi struktur hierarkis seperti pohon dengan akar di bagian atas dan unit organisasi bersarang di bawah root. Akun AWS Setiap akun dapat langsung di root, atau ditempatkan di salah satu OUs dalam hierarki.

Setiap organisasi terdiri dari:

Akun manajemen
Nol atau lebih akun anggota
Nol atau lebih unit organisasi (OUs)
Nol atau lebih kebijakan.

Sebuah organisasi memiliki fungsi yang ditentukan oleh perangkat fitur yang Anda aktifkan.

root

Root administratif (root) terkandung dalam akun manajemen dan merupakan titik awal untuk mengatur Anda Akun AWS. Root adalah wadah paling atas dalam hierarki organisasi Anda. Di bawah root ini, Anda dapat membuat unit organisasi (OUs) untuk mengelompokkan akun Anda secara logis dan mengaturnya OUs ke dalam hierarki yang paling sesuai dengan kebutuhan Anda.

Jika Anda menerapkan kebijakan manajemen ke root, itu berlaku untuk semua unit organisasi (OUs) dan akun, termasuk akun manajemen untuk organisasi.

Jika Anda menerapkan kebijakan otorisasi (misalnya, kebijakan kontrol layanan (SCP)), ke root, itu berlaku untuk semua unit organisasi (OUs) dan akun anggota dalam organisasi. Itu tidak berlaku untuk akun manajemen di organisasi.

catatan

Anda hanya dapat memiliki satu root. AWS Organizations secara otomatis membuat root untuk Anda saat Anda membuat organisasi.

Unit organisasi (OU)

Unit organisasi (OU) adalah kelompok Akun AWSdalam suatu organisasi. OU juga dapat berisi lain yang OUs memungkinkan Anda untuk membuat hierarki. Misalnya, Anda dapat mengelompokkan semua akun milik departemen yang sama ke dalam OU departemen. Demikian pula, Anda dapat mengelompokkan semua akun yang menjalankan layanan keamanan ke dalam OU keamanan.

OUsberguna ketika Anda perlu menerapkan kontrol yang sama ke subset akun di organisasi Anda. Nesting OUs memungkinkan unit manajemen yang lebih kecil. Misalnya, Anda dapat membuat OUs untuk setiap beban kerja, lalu membuat dua bersarang OUs di setiap beban kerja OU untuk membagi beban kerja produksi dari pra-produksi. OUsIni mewarisi kebijakan dari OU induk selain kontrol apa pun yang ditetapkan langsung ke OU tingkat tim. Termasuk root dan Akun AWS dibuat di level terendahOUs, hierarki Anda bisa sedalam lima level.

Akun AWS

An Akun AWSadalah wadah untuk AWS sumber daya Anda. Anda membuat dan mengelola AWS sumber daya Anda dalam Akun AWS, dan Akun AWS menyediakan kemampuan administratif untuk akses dan penagihan.

Menggunakan beberapa Akun AWS adalah praktik terbaik untuk menskalakan lingkungan Anda, karena menyediakan batas penagihan untuk biaya, mengisolasi sumber daya untuk keamanan, memberikan fleksibilitas atau individu dan tim, selain dapat beradaptasi untuk proses baru.

catatan

AWS Akun berbeda dari pengguna. Pengguna adalah identitas yang Anda buat menggunakan AWS Identity and Access Management (IAM) dan mengambil bentuk baik IAMpengguna dengan kredensi jangka panjang atau IAM peran dengan kredensi jangka pendek. Satu AWS akun dapat, dan biasanya, berisi banyak pengguna dan peran.

Ada dua jenis akun dalam suatu organisasi: satu akun yang ditetapkan sebagai akun manajemen dan satu atau lebih akun anggota.

Akun manajemen

Akun manajemen adalah yang Akun AWS Anda gunakan untuk membuat organisasi Anda. Dari akun manajemen, Anda dapat melakukan hal berikut:

Buat akun lain di organisasi Anda
Undang dan kelola undangan untuk akun lain untuk bergabung dengan organisasi Anda
Tentukan akun administrator yang didelegasikan
Hapus akun dari organisasi Anda
Lampirkan kebijakan ke entitas seperti root, unit organisasi (OUs), atau akun dalam organisasi Anda
Aktifkan integrasi dengan AWS layanan yang didukung untuk menyediakan fungsionalitas layanan di semua akun di organisasi.

Akun manajemen adalah pemilik utama organisasi, memiliki kontrol akhir atas kebijakan keamanan, infrastruktur, dan keuangan. Akun ini memiliki peran sebagai akun pembayar dan bertanggung jawab untuk membayar semua biaya yang timbul oleh akun di organisasinya.

catatan

Anda tidak dapat mengubah akun mana di organisasi Anda yang merupakan akun manajemen.

Akun anggota

Akun anggota adalah Akun AWS, selain akun manajemen, yang merupakan bagian dari organisasi. Jika Anda adalah administrator organisasi, Anda dapat membuat akun anggota di organisasi dan mengundang akun yang ada untuk bergabung dengan organisasi. Anda juga dapat menerapkan kebijakan ke akun anggota.

catatan

Akun anggota hanya dapat dimiliki oleh satu organisasi dalam satu waktu. Anda dapat menunjuk akun anggota untuk menjadi akun administrator yang didelegasikan.

Administrator yang didelegasikan

Kami menyarankan Anda menggunakan akun manajemen dan penggunanya dan perannya hanya untuk tugas-tugas yang harus dilakukan oleh akun itu. Kami menyarankan Anda menyimpan AWS sumber daya Anda di akun anggota lain di organisasi dan menjauhkannya dari akun manajemen. Ini karena fitur keamanan seperti kebijakan kontrol layanan Organizations (SCPs) tidak membatasi pengguna atau peran apa pun di akun manajemen. Memisahkan sumber daya Anda dari akun manajemen Anda juga dapat membantu Anda memahami tagihan pada faktur Anda. Dari akun manajemen organisasi, Anda dapat menetapkan satu atau beberapa akun anggota sebagai akun administrator yang didelegasikan untuk membantu Anda menerapkan rekomendasi ini. Ada dua jenis administrator yang didelegasikan:

Administrator yang didelegasikan untuk Organizations: Dari akun ini, Anda dapat mengelola kebijakan organisasi dan melampirkan kebijakan ke entitas (rootOUs,, atau akun) dalam organisasi. Akun manajemen dapat mengontrol izin delegasi pada tingkat granular. Untuk informasi selengkapnya, lihat Administrator yang didelegasikan untuk AWS Organizations.
Administrator yang didelegasikan untuk AWS layanan: Dari akun ini, Anda dapat mengelola AWS layanan yang terintegrasi dengan Organizations. Akun manajemen dapat mendaftarkan akun anggota yang berbeda sebagai administrator yang didelegasikan untuk layanan yang berbeda sesuai kebutuhan. Akun ini memiliki izin administratif untuk layanan tertentu, serta izin untuk tindakan read-only Organizations. Untuk informasi selengkapnya, silakan lihat Administrator yang didelegasikan untuk pekerjaan Layanan AWS itu dengan Organizations

Undangan dan jabat tangan

Undangan: Undangan adalah proses meminta akun lain untuk bergabung dengan organisasi Anda. Undangan hanya dapat dikeluarkan oleh akun manajemen organisasi. Undangan diperluas hingga ID akun atau alamat email yang terkait dengan akun yang diundang. Setelah akun yang diundang menerima undangan, akun tersebut menjadi sebuah akun anggota dalam organisasi. Undangan juga dapat dikirim ke semua akun anggota saat ini ketika organisasi membutuhkan semua anggota untuk menyetujui perubahan dari hanya mendukung fitur penagihan konsolidasi menjadi mendukung semua fitur dalam organisasi. Undangan bekerja berdasarkan akun yang bertukar jabat tangan. Anda mungkin tidak melihat jabat tangan saat bekerja di konsol AWS Organizations . Tetapi jika Anda menggunakan AWS CLI atau AWS Organizations API, Anda harus bekerja langsung dengan jabat tangan.
Jabat Tangan: Jabat tangan adalah proses multi-langkah pertukaran informasi antara dua pihak. Salah satu kegunaan utamanya AWS Organizations adalah untuk berfungsi sebagai implementasi yang mendasari undangan. Pesan jabat tangan dilewatkan antara dan ditanggapi oleh inisiator dan penerima jabat tangan. Pesan dilewatkan dengan cara yang membantu memastikan bahwa kedua belah pihak tahu apa status saat ini. Jabat tangan juga digunakan ketika mengubah organisasi dari yang hanya mendukung fitur penagihan konsolidasi menjadi mendukung semua fitur yang ditawarkan oleh AWS Organizations . Anda biasanya perlu berinteraksi langsung dengan jabat tangan hanya jika Anda bekerja dengan AWS Organizations API atau alat baris perintah seperti. AWS CLI

Kebijakan organisasi

Kebijakan adalah “dokumen” dengan satu atau beberapa pernyataan yang menentukan kontrol yang ingin Anda terapkan ke grup Akun AWS. AWS Organizations mendukung kebijakan manajemen dan kebijakan otorisasi.

Kebijakan pengelolaan

Kebijakan manajemen membantu Anda mengonfigurasi Layanan AWS dan mengelola secara terpusat serta fitur-fiturnya di seluruh organisasi.

Kebijakan Backup: Kebijakan cadangan adalah jenis kebijakan yang membantu Anda menstandarisasi dan menerapkan strategi cadangan untuk sumber daya di semua akun di organisasi Anda. Dalam Kebijakan backup, Anda dapat mengkonfigurasi dan menyebarkan rencana cadangan untuk sumber daya Anda.
Kebijakan tag: Kebijakan tag adalah jenis kebijakan yang membantu Anda membakukan tag di seluruh sumber daya di semua akun di organisasi Anda. Dalam kebijakan tag, Anda dapat menentukan aturan pemberian tag untuk sumber daya tertentu.
Kebijakan Chatbot: Kebijakan chatbot adalah jenis kebijakan yang membantu Anda mengontrol akses ke akun organisasi Anda dari aplikasi obrolan seperti Slack dan Microsoft Teams. Dalam kebijakan Chatbot, Anda membatasi akses ke ruang kerja tertentu (Slack) dan tim (Microsoft Teams).
kebijakan menolak layanan AI: Kebijakan opt-out layanan AI adalah jenis kebijakan yang membantu Anda membakukan pengaturan opt-out untuk layanan AWS AI di semua akun di organisasi Anda. Layanan AWS AI tertentu dapat menyimpan dan menggunakan konten pelanggan yang diproses oleh layanan tersebut untuk pengembangan dan peningkatan berkelanjutan layanan dan teknologi Amazon AI. Dalam kebijakan opt-out layanan AI, Anda dapat memilih untuk tidak menyimpan konten Anda atau digunakan untuk peningkatan layanan.

Kebijakan otorisasi

Kebijakan otorisasi membantu Anda mengelola keamanan di Akun AWS seluruh organisasi secara terpusat.

Kebijakan kontrol layanan

Kebijakan kontrol layanan adalah kebijakan yang menentukan layanan dan tindakan yang dapat digunakan pengguna dan peran dalam akun yang SCPterpengaruh. SCPsmirip dengan kebijakan IAM izin kecuali bahwa mereka tidak memberikan izin apa pun. Sebagai gantinya, SCPs tentukan izin maksimum untuk organisasi, unit organisasi (OUs), atau akun. Ketika Anda melampirkan SCP ke root organisasi atau OU Anda, SCP membatasi izin untuk entitas di akun anggota.

Izinkan daftar dan tolak daftar

Izinkan daftar dan tolak daftar adalah strategi pelengkap yang dapat Anda gunakan SCPsuntuk diterapkan untuk memfilter izin yang tersedia untuk akun.

Strategi izinkan daftar — Anda secara eksplisit menentukan akses yang diizinkan. Semua akses lainnya secara implisit diblokir. Secara default, AWS Organizations melampirkan kebijakan AWS terkelola yang dipanggil FullAWSAccess ke semua rootOUs, dan akun. Hal ini membantu memastikan bahwa, ketika Anda membangun organisasi Anda, tidak ada yang diblokir sampai Anda menginginkannya diblokir. Dengan kata lain, secara default semua izin dizinkan. Saat Anda siap untuk membatasi izin, Anda mengganti kebijakan FullAWSAccess dengan sebuah kebijakan yang memungkinkan hanya perangkat izin yang lebih terbatas dan diinginkan. Pengguna dan peran di akun yang terpengaruh hanya dapat menggunakan tingkat akses tersebut, meskipun IAM kebijakan mereka mengizinkan semua tindakan. Jika Anda mengganti kebijakan default pada root, semua akun dalam organisasi dipengaruhi oleh pembatasan tersebut. Anda tidak dapat menambahkan izin kembali pada tingkat yang lebih rendah dalam hierarki karena SCP tidak pernah memberikan izin; itu hanya menyaringnya.
Tolak strategi daftar — Anda secara eksplisit menentukan akses yang tidak diizinkan. Semua akses lainnya diizinkan. Dalam skenario ini, semua izin diizinkan kecuali secara eksplisit diblokir. Ini adalah perilaku default dari AWS Organizations. Secara default, AWS Organizations melampirkan kebijakan AWS terkelola yang dipanggil FullAWSAccess ke semua rootOUs, dan akun. Ini memungkinkan akun apa pun untuk mengakses layanan atau operasi apa pun tanpa batasan yang AWS Organizations diberlakukan. Berbeda dengan teknik izinkan daftar yang dijelaskan di atas, ketika menggunakan tolak daftar, Anda meninggalkan kebijakan FullAWSAccess default di tempat (yang mengizinkan "semua"). Tapi kemudian Anda melampirkan kebijakan tambahan yang secara eksplisit menolak akses ke layanan dan tindakan yang tidak diinginkan. Sama seperti kebijakan IAM izin, penolakan eksplisit atas tindakan layanan mengesampingkan izin tindakan tersebut.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Apa itu AWS Organizations?

Kuota dan batas layanan