AWS Organizations
用户指南

什么是 AWS Organizations?

AWS Organizations 是一项账户管理服务,使您能够将多个 AWS 账户整合到您创建并集中管理的组织 中。AWS Organizations 包含账户管理和整合账单功能,可利用这些功能更好地满足企业的预算、安全性和合规性需求。作为组织的管理员,您可以在组织中创建账户并邀请现有账户加入组织。

本用户指南定义 AWS Organizations 的关键概念、提供 教程并说明了如何创建和管理组织

AWS Organizations 功能

AWS Organizations 提供以下功能:

集中管理您的所有 AWS 账户

您可以将您的现有账户并入组织中,以便集中管理这些账户。您可以创建自动成为组织的一部分的账户,并且您可以邀请其他账户加入您的组织。您也可以附加将影响您的部分或所有账户的策略。

所有成员账户的整合账单

整合账单是 AWS Organizations 的一项功能。您可以使用组织的主账户整合和支付所有成员账户。

对账户进行分层分组以满足预算、安全性或合规性需求

您可以将您的账户分组到组织单元 (OU) 中并将不同的访问策略附加到每个 OU。例如,如果您的账户必须仅访问满足特定法规要求的 AWS 服务,您可以将这些账户放入一个 OU 中。然后,您可以将策略附加到该 OU,这将阻止访问未满足这些法规要求的服务。您可以将 OU 嵌套在其他 OU 内 (深度为 5 个分层),以便灵活地构建账户组的结构。

控制每个账户可访问的 AWS 服务和 API 操作

作为组织主账户的管理员,您可以使用服务控制策略 (SCP) 指定组织中成员账户的最大权限数。在 SCP 中,您可以限制每个成员账户中的用户和角色可以访问的 AWS 服务、资源和各个 API 操作。您还可以定义有关何时限制对 AWS 服务、资源和 API 操作的访问的条件。这些限制甚至会覆盖组织内的成员账户的管理员。当 AWS Organizations 阻止某个成员账户访问服务、资源或 API 操作时,该账户中的用户或角色将无法访问这些对象,即使该成员账户的管理员在 IAM 策略中明确授予此类权限也是如此。

有关更多信息,请参阅 管理 AWS Organizations 策略

针对 AWS Identity and Access Management (IAM) 的集成和支持

IAM 提供对单个账户中的用户和角色的精细控制。AWS Organizations 通过使您能够控制一个账户或一组账户中的哪些用户和角色可执行哪些操作来扩展对账户级别的控制。生成的权限是账户级别的 AWS Organizations 允许的内容的逻辑交集,以及 IAM 在该账户内的用户或角色级别明确授予的权限。换言之,用户只能访问 AWS Organizations 策略和 IAM 策略 允许的内容。如果任一策略阻止某个操作,用户将无法访问该操作。

与其他 AWS 服务集成

您可以将 AWS Organizations 中提供的多账户管理服务与选定 AWS 服务结合使用,以在作为组织成员的所有账户上执行任务。有关服务以及在组织范围级别使用每项服务的好处的列表,请参阅可与 AWS Organizations 一起使用的 AWS 服务

当您启用某个 AWS 服务代表您执行组织成员账户中的任务时,AWS Organizations 会在每个成员账户中为该服务创建一个 IAM 服务相关角色。此服务相关角色具有预定义的 IAM 权限,此类权限允许另一 AWS 服务在您的组织及其账户中执行特定任务。为了做到这一点,组织内的所有账户都自动具有一个服务相关角色,该角色使 AWS Organizations 服务能够创建 AWS 服务(您为之允许可信访问)所需的服务相关角色。这些额外的服务相关角色附带有使指定服务能够仅执行您的配置选择所需的那些任务的策略。有关更多信息,请参阅启用其他 AWS 服务的可信访问

具备最终一致性的数据复制

与许多其他 AWS 服务一样,AWS Organizations 具有最终一致性。AWS Organizations 通过复制其区域内 AWS 数据中心的多个服务器上的数据来实现高可用性。如果成功请求更改某些数据,则更改会提交并安全存储。但是,之后必须在多个服务器中复制此更改。有关更多信息,请参阅我所做的更改不总是立即可见

AWS Organizations 定价

不另外收取 AWS Organizations 费用。您只需为成员账户中的用户和角色所使用的 AWS 资源付费。例如,您需要支付成员账户中的用户或角色所使用的 Amazon EC2 实例的标准费用。有关其他 AWS 服务定价的信息,请参阅 AWS 定价

访问 AWS Organizations

您可以通过以下任何方式使用 AWS Organizations:

AWS 管理控制台

AWS Organizations 控制台是一个基于浏览器的界面,您可以用它来管理您的组织和您的 AWS 资源。您可以使用控制台在组织中执行任何任务。

AWS 命令行工具

通过使用 AWS 命令行工具,您可以在系统的命令行上发出命令以执行 AWS Organizations 和 AWS 任务;这比使用控制台更快且更方便。如果要构建执行 AWS 任务的脚本,命令行工具也会十分有用。

AWS 提供两组命令行工具:AWS 命令行界面 (AWS CLI) 和 AWS Windows PowerShell 工具。有关安装和使用 AWS CLI 的更多信息,请参阅 AWS Command Line Interface 用户指南。有关安装和使用 Windows PowerShell 工具 的更多信息,请参阅 适用于 Windows PowerShell 的 AWS 工具 用户指南

AWS 开发工具包

AWS 开发工具包包含各种编程语言和平台(例如,Java、Python、Ruby、.NET、iOS 和 Android)的库和示例代码。开发工具包执行以下类似任务:加密签署请求、管理错误以及自动重试请求。有关 AWS 开发工具包的更多信息(包括如何下载和安装这些工具包),请参阅适用于 Amazon Web Services 的工具

AWS Organizations HTTPS 查询 API

AWS Organizations HTTPS 查询 API 使您能够以编程方式访问 AWS Organizations 和 AWS。HTTPS 查询 API 可让您直接向服务发布 HTTPS 请求。使用 HTTPS API 时,必须添加代码,才能使用您的凭证对请求进行数字化签名。有关更多信息,请参阅通过提出 HTTP 查询请求来调用 APIAWS Organizations API 参考

对 AWS Organizations 的支持和反馈

我们欢迎您提供反馈。您可以将评论发送到 feedback-awsorganizations@amazon.com。您也可以在 AWS Organizations 支持论坛上发布反馈和问题。有关 AWS 支持论坛的更多信息,请参阅论坛帮助

其他 AWS 资源

  • AWS 培训和课程 – 指向基于角色的专业课程和自主进度动手实验室的链接,这些课程和实验室旨在帮助您增强 AWS 技能并获得实践经验。

  • AWS 开发人员工具 – 指向开发人员工具和资源的链接,其中提供了文档、代码示例、发行说明和有助于您利用 AWS 构建创新应用程序的其他信息。

  • AWS Support 中心 – 用于创建和管理 AWS Support 案例的中心。还包括指向其他有用资源的链接,如论坛、技术常见问题、服务运行状况和 AWS Trusted Advisor。

  • AWS Support – 提供有关 AWS Support 的信息的主要网页,是一种一对一的快速响应支持渠道,可帮助您在云中构建和运行应用程序。

  • 联系我们 – 用于查询有关 AWS 账单、账户、事件、滥用和其他问题的中央联系点。

  • AWS 网站条款 – 有关我们的版权和商标、您的账户、许可、网站访问和其他主题的详细信息。