本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是 AWS Organizations?
AWS Organizations 是一项账户管理服务,使您能够将多个AWS 账户整合到您创建并集中管理的组织中。AWS Organizations 包含账户管理和整合账单功能,可利用这些功能更好地满足企业的预算、安全性和合规性需求。作为组织的管理员,您可以在组织中创建账户并邀请现有账户加入组织。
本用户指南定义 AWS Organizations 的关键概念、提供 教程并说明了如何创建和管理组织。
AWS Organizations 功能
AWS Organizations 提供以下功能:
- 集中管理您的所有 AWS 账户
-
您可以将您的现有账户并入组织中,以便集中管理这些账户。您可以创建自动成为组织的一部分的账户,并且您可以邀请其他账户加入您的组织。您也可以附加将影响您的部分或所有账户的策略。
- 所有成员账户的整合账单
-
整合账单是 AWS Organizations 的一项功能。您可以使用自己所属组织的管理账户,来整合所有成员账户,并为成员账户进行支付。在整合账单中,管理账户还可以访问其组织中成员账户的账单信息、账户信息和账户活动。此信息可用于诸如 Cost Explorer 之类的服务,这些服务可以帮助管理账户提高其组织的成本性能。
- 对账户进行分层分组以满足预算、安全性或合规性需求
-
您可以将您的账户分组到组织单元 (OU) 中并将不同的访问策略附加到每个 OU。例如,如果您的账户必须仅访问满足特定法规要求的 AWS 服务,您可以将这些账户放入一个 OU 中。然后,您可以将策略附加到该 OU,这将阻止访问未满足这些法规要求的服务。您可以将 OU 嵌套在其他 OU 内 (深度为 5 个分层),以便灵活地构建账户组的结构。
- 集中控制每个账户可访问的 AWS 服务和 API 操作的策略
-
作为组织管理账户的管理员,您可以使用服务控制策略(SCP)指定组织中成员账户的最大权限数。在 SCP 中,您可以限制每个成员账户中的用户和角色可以访问的 AWS 服务、资源和各个 API 操作。您还可以定义有关何时限制对 AWS 服务、资源和 API 操作的访问的条件。这些限制甚至会覆盖组织内的成员账户的管理员。当 AWS Organizations 阻止对某个成员账户对服务、资源或 API 操作的访问时,该账户中的用户或角色将无法访问它。即使成员账户的管理员在 IAM 策略中明确授予此类权限,此阻止仍然有效。
有关更多信息,请参阅服务控制策略 (SCP)。
- 在组织账户中跨资源标准化标签的策略
-
您可以使用标签策略来维护一致的标签,包括标签键和标签值的首选大小写处理。
有关更多信息,请参阅标签策略
- 控制 AWS 人工智能 (AI) 和机器学习服务如何收集和存储数据的策略。
-
您可以使用 AI 服务选择退出策略来选择退出任何您不希望使用的 AWS AI 服务的数据收集和存储服务。
有关更多信息,请参阅AI 服务选择退出策略
- 为组织账户中的资源配置自动备份的策略
-
您可以使用备份策略为所有组织账户中的资源配置和自动应用 AWS Backup 计划。
有关更多信息,请参阅备份策略
- 针对 AWS Identity and Access Management (IAM) 的集成和支持
-
IAM 提供对单个账户中的用户和角色的精细控制。AWS Organizations 通过使您能够控制一个账户或一组账户中的哪些用户和角色可执行哪些操作来扩展对账户级别的控制。生成的权限是账户级别的 AWS Organizations 允许的内容的逻辑交集,以及 IAM 在该账户内的用户或角色级别明确授予的权限。换言之,用户只能访问 AWS Organizations 策略和 IAM 策略都允许的内容。如果任一策略阻止某个操作,用户将无法访问该操作。
- 与其他 AWS 服务集成
-
您可以将 AWS Organizations 中提供的多账户管理服务与选定 AWS 服务结合使用,以在作为组织成员的所有账户上执行任务。有关服务以及在组织范围级别使用每项服务的好处的列表,请参阅AWS 可以与之配合使用的服务 AWS Organizations。
当您启用某个AWS服务代表您执行组织成员账户中的任务时,AWS Organizations 会在每个成员账户中为该服务创建一个 IAM 服务相关角色
。此服务相关角色具有预定义的 IAM 权限,此类权限允许另一AWS服务在您的组织及其账户中执行特定任务。为正常工作,组织中的所有账户都会自动具有服务相关角色。此角色允许 AWS Organizations 服务创建您启用了信任访问权限的AWS服务所需的服务相关角色。这些额外的服务相关角色已附加到 IAM 权限策略,这些策略指定服务能够仅执行您的配置选择所需的那些任务。有关更多信息,请参阅将 AWS Organizations 与其它 AWS 产品结合使用。 - 全局访问
-
AWS Organizations 是一项全局服务,具有单个终端节点,可从任何和所有AWS 区域中工作。您无需明确地选择要在其中操作的区域。
- 具备最终一致性的数据复制
-
与许多其他 AWS 服务一样,AWS Organizations 具有最终一致性
。AWS Organizations 通过复制其区域内 AWS 数据中心的多个服务器上的数据来实现高可用性。如果成功请求更改某些数据,则更改会提交并安全存储。但是,之后必须在多个服务器中复制此更改。有关更多信息,请参阅我所做的更改不总是立即可见。
- 免费使用
-
AWS Organizations 是为您的AWS 账户账户提供的一项功能,无需额外收费。只有在您访问组织账户中其他AWS服务时,才会向您收费。有关其他AWS产品定价信息,请参阅亚马逊云科技定价页
。
AWS Organizations 定价
不另外收取 AWS Organizations 费用。您只需为成员账户中的用户和角色所使用的 AWS 资源付费。例如,您需要支付成员账户中的用户或角色所使用的 Amazon EC2 实例的标准费用。有关其他AWS服务定价的信息,请参阅AWS定价
访问 AWS Organizations
您可以通过以下任何方式使用 AWS Organizations:
- AWS Management Console
-
AWS Organizations 控制台
是一个基于浏览器的界面,您可以用它来管理您的组织和您的 AWS 资源。您可以使用控制台在组织中执行任何任务。 - AWS 命令行工具
-
使用 AWS 命令行工具,您可在系统的命令行中发出命令以执行 AWS Organizations 和 AWS 任务。与使用控制台相比,使用命令行处理更快、更方便。如果要构建执行 AWS 任务的脚本,命令行工具也会十分有用。
AWS 提供两组命令行工具:
-
AWS Command Line Interface
(AWS CLI)。有关安装与使用 AWS CLI 的信息,请参阅 AWS Command Line Interface 用户指南。 -
AWS Tools for Windows PowerShell
。有关安装和使用 Tools for Windows PowerShell 的信息,请参阅 AWS Tools for Windows PowerShell 用户指南。
-
- AWS 开发工具包
-
AWS 开发工具包包含各种编程语言和平台(例如,Java、Python、Ruby、.NET、iOS 和 Android)的库和示例代码。开发工具包执行以下类似任务:加密签署请求、管理错误以及自动重试请求。有关 AWS 开发工具包的更多信息(包括如何下载和安装这些工具包),请参阅适用于 Amazon Web Services 的工具
。 - AWS Organizations HTTPS 查询 API
-
AWS Organizations HTTPS 查询 API 使您能够以编程方式访问 AWS Organizations 和 AWS。HTTPS 查询 API 可让您直接向服务发布 HTTPS 请求。使用 HTTPS API 时,必须添加代码,才能使用您的凭证对请求进行数字化签名。有关更多信息,请参阅通过提出 HTTP 查询请求来调用 API 和 AWS Organizations API 参考。
对 AWS Organizations 的支持和反馈
我们欢迎您提供反馈。您可以将评论发送到 feedback-awsorganizations@amazon.com
其他 AWS 资源
-
AWS培训和课程
– 指向基于角色的专业课程和自主进度动手实验室的链接,这些课程和实验室旨在帮助您增强AWS技能并获得实践经验。 -
AWS开发工具
– 指向开发工具和资源的链接,其中提供了文档、代码示例、发布说明和有助于您利用AWS构建创新应用程序的其他信息。 -
AWS Support Center
– 用于创建和管理 AWS Support 案例的中心。还包括指向其他有用资源的链接,如论坛、技术常见问题、服务运行状况和 AWS Trusted Advisor。 -
AWS Support
– 提供有关 AWS Support 的信息的主要网页,是一种一对一的快速响应支持渠道,可帮助您在云中构建和运行应用程序。 -
联系我们
– 用于查询有关AWS账单、账户、事件、滥用和其他问题的中央联系点。 -
AWS 网站条款
– 有关我们的版权和商标、您的账户、许可、网站访问和其他主题的详细信息。