AWS Organizations 术语和概念 - AWS Organizations

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Organizations 术语和概念

为了帮助您入门 AWS Organizations,本主题解释了一些关键概念。

下图显示了一个包含五个账户的基本组织,这些账户在根下分为四个组织部门(OU)。此外,该组织还有一些策略附加到其中部分 OU 或者直接附加到账户。有关这些项目中每一项的描述,请参阅本主题中的定义。

基本组织图
组织

您为合并 AWS 账户而创建的实体,以便您可以将其作为一个单位进行管理。您可以使用 AWS Organizations 控制台集中查看和管理组织内您的所有账户。一个组织有一个管理账户以及零个或多个成员账户。您可以以分层树状结构组织账户,将放在树顶部,组织部门嵌套在根下。每个账户都可以直接放在根中,也可以放在层次结构的其中一个 OU 中。一个组织的功能由您启用的功能集决定。

您的组织的所有账户的父容器。如果您对根用户应用授权策略,则该策略将应用于组织中的所有组织单位 (OU)成员账户。如果您将管理策略应用于根目录,则该策略适用于所有组织单位 (OU) 和账户,包括组织中的管理账户。

注意

当前,你只能有一个根。 AWS Organizations 在你创建组织时会自动为你创建它。

组织部门(OU)

账户的容器。OU 还可以包含其他 OU,这使您能够创建类似于倒置树的层次结构,根位于顶部,OU 分支向下延伸,结束于作为树叶的账户。当您将策略附加到层次结构中的其中一个节点时,策略会向下流动,影响该节点下的所有分支 (OU) 和树叶 (账户)。一个 OU 有且仅有一个父级,而目前每个账户都正好是一个 OU 的成员。

帐户

Organizations 中的账户 AWS 账户 是一种标准,其中包含您的 AWS 资源以及可以访问这些资源的身份。

提示

AWS 帐户与用户帐户不是一回事。AWS 用户是您使用 AWS Identity and Access Management (IAM)创建的身份,其形式为具有长期凭证的 IAM 用户,或具有短期凭证的 IAM 角色。一个 AWS 账户可以而且通常确实包含许多用户和角色。

组织中有两种类型的账户:一个指定为管理账户的单个账户,以及一个或多个成员账户。

  • 管理账户是您用于创建组织的账户。从组织的管理账户中,您可以执行以下操作:

    • 在组织中创建账户

    • 邀请其他现有账户到组织中

    • 从组织中删除账户

    • 指定委托管理员账户

    • 管理邀请

    • 将策略应用到组织内的实体(根、OU 或者账户)

    • 启用与支持的 AWS 服务的集成,为组织中的所有账户提供服务功能。

    管理账户具有付款人账户的责任,并负责支付成员账户产生的所有费用。您无法更改一个组织的管理账户。

  • 成员账户组成组织中的所有账户的其余部分。一个账户一次只能是一个组织的成员。您可以将策略附加到账户,以仅对这个账户进行控制。

    注意

    您可以将一些成员账户指定为委托管理员账户。请参阅下面的 委托管理员

委派管理员

我们建议您将 Organizations 管理账户及其用户和角色仅用于必须由该账户执行的任务。我们建议您将所有的 AWS 资源存储在组织的其他成员账户中,而非保存在管理账户中。这是因为,Organizations 服务控制策略(SCP)等安全功能不会限制管理账户中的任何用户或角色。将资源与管理账户分离还可帮助您了解发票上的费用。在组织的管理账户中,您可以将一个或多个成员账户指定为委托管理员账户,以帮助您实施此建议。您可以使用两种类型的委托管理员:

  • Organizations 委托管理员:通过这些账户,您可以管理组织策略并将策略附加到组织内的实体(根、OU 或账户)。管理账户可以对委托权限进行精细控制。请参阅的委派管理员 AWS Organizations了解更多信息。

  • AWS 服务的委托管理员:通过这些帐户,您可以管理与 Organiz AWS ations 集成的服务。管理账户可以根据需要,将不同的成员账户注册为不同服务的委托管理员。这些账户拥有特定服务的管理权限,以及 Organizations 只读操作权限。请参阅 与 Organizations 配合使用的 AWS 服务的委托管理员了解更多信息。

邀请

邀请其他账户加入您的组织的过程。邀请只能由组织的管理账户发出。邀请扩展到与受邀账户相关联的账户 ID 或电子邮件地址。受邀账户接受邀请后,它将成为组织中的成员账户。如果组织需要所有当前成员账户批准将仅支持整合账单功能更改为支持组织中的所有功能,也可以将邀请发送到所有成员。通过交换握手信息,对各个账户发出邀请。在 AWS Organizations 控制台中处理时,您可能看不到握手。但是,如果您使用 AWS CLI 或 AWS Organizations API,则必须直接使用握手。

握手

在双方之间交换信息的多步骤过程。它的主要用途之一 AWS Organizations 是用作邀请的底层实现。握手消息在握手发起方和接收方之间传递并由双方进行响应。消息的传递方式有助于确保双方知道当前状态是什么。将组织从仅支持整合账单功能更改为支持 提供的所有功能 AWS Organizations 时,也可以使用握手。通常,只有在使用 AWS Organizations API 或命令行工具(例如)时,才需要直接与握手交互。 AWS CLI

可用的功能集

  • 所有功能-可用的默认功能集 AWS Organizations。它包括整合账单的所有功能,此外还包括高级功能,可让您更好地控制组织中的账户。例如,当启用了所有功能时,组织的管理账户将能够完全控制成员账户可以执行的操作。管理账户可以应用 SCP 来限制账户中的用户(包括根用户)和角色可以访问的服务和操作。管理账户可以防止成员账户退出组织。您还可以启用与支持的 AWS 服务的集成,让这些服务为组织中的所有账户提供功能。

    您可以创建一个已启用所有功能的组织,或者您可以启用最初仅支持整合账单功能的组织中的所有功能。要启用所有功能,所有受邀成员账户都必须批准更改,方法为接受当管理账户启动此过程时发送的邀请。

  • 整合账单-此功能集提供共享账单功能,但不包括的更高级的功能 AWS Organizations。例如,您不能允许其他 AWS 服务与您的组织集成,以便在其所有账户中运行,也不能使用策略来限制不同账户中的用户和角色可以执行的操作。要使用高级 AWS Organizations 功能,您必须启用组织中的所有功能

服务控制策略 (SCP)

一个策略,用于指定 SCP 所影响账户中的用户和角色可以使用的服务和操作。SCP 类似于 IAM 权限策略,不同的是前者不授予任何权限。相反,SCP 指定组织、组织单位 (OU) 或账户的最大权限数。在将 SCP 附加到组织根或 OU 时,SCP 限制成员账户中实体的权限。

允许列表与拒绝列表

允许列表和拒绝列表是您应用 SCP 以筛选可供账户使用的权限时的补充策略。

  • 允许列表策略 – 您明确指定允许的访问权限。隐式阻止所有其他访问权。默认情况下,会FullAWSAccess将名为的 AWS 托管策略 AWS Organizations 附加到所有根、OU 和账户。这样有助于确保在您构建您的组织时,除非您希望,否则不会阻止任何内容。换句话说,默认情况下将允许所有权限。当您准备限制权限时,您需要将 FullAWSAccess 策略替换为仅允许限制性更强的所需权限集的策略。然后,受影响账户中的用户和角色只能使用该级别的访问权限,即使它们的 IAM policy 允许所有操作也是如此。如果您在根上替换默认策略,则组织中的所有账户都受限制规则的影响。您不能在层次结构中的较低级别重新添加权限,因为 SCP 永远不会授予权限;它只筛选权限。

  • 拒绝列表策略 – 您明确指定不允许的访问权限。允许所有其他访问权。在这种情况下,除非明确阻止,否则允许所有权限。这是的默认行为 AWS Organizations。默认情况下,会FullAWSAccess将名为的 AWS 托管策略 AWS Organizations 附加到所有根、OU 和账户。这允许任何账户不受任何 AWS Organizations限制地访问任何服务或操作。与上述允许列表技术不同,使用拒绝列表时,您会保留默认 FullAWSAccess 策略(允许“全部”)。但是,您可以附加额外的策略,明确拒绝 访问不需要的服务和操作。与使用 IAM 权限策略一样,显式拒绝服务操作将覆盖该操作的任何允许规则。

人工智能(AI)服务选择退出政策

一种策略,可帮助您标准化组织中所有账户中 AWS AI 服务的选择退出设置。某些 AWS AI 服务可以存储和使用这些服务处理的客户内容,用于开发和持续改进 Amazon AI 服务与技术。作为 AWS 客户,您可以使用 AI 服务选择退出政策来选择不存储您的内容或将其用于服务改进。

备份策略

此策略可帮助您将资源标准化,并为组织中的所有账户的资源实施备份策略。在备份策略中,您可以为资源配置和部署备份计划。

标签策略

策略的一种类型,可帮助您在组织中所有账户内的资源中标准化标签。在标签策略中,您可以为特定资源指定标记规则。