本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是 AWS Organizations?
AWS Organizations 是一项账户管理服务,可让您将多个账户整合 AWS 账户 到一个由您创建和集中管理的组织中。 AWS Organizations 包括账户管理和整合账单功能,使您能够更好地满足企业的预算、安全和合规需求。作为组织的管理员,您可以在组织中创建账户并邀请现有账户加入组织。
本用户指南定义了组织的关键概念 AWS Organizations,提供了教程,并解释了如何创建和管理组织。
主题
AWS Organizations features
AWS Organizations 提供以下功能:
- 集中管理您的所有内容 AWS 账户
-
您可以将您的现有账户并入组织中,以便集中管理这些账户。您可以创建自动成为组织的一部分的账户,并且您可以邀请其他账户加入您的组织。您也可以附加将影响您的部分或所有账户的策略。
- 所有成员账户的整合账单
-
整合账单是的一项功能 AWS Organizations。您可以使用自己所属组织的管理账户,来整合所有成员账户,并为成员账户进行支付。在整合账单中,管理账户还可以访问其组织中成员账户的账单信息、账户信息和账户活动。此信息可用于诸如 Cost Explorer 之类的服务,这些服务可以帮助管理账户提高其组织的成本性能。
- 对账户进行分层分组以满足预算、安全性或合规性需求
-
您可以将账户分组为组织单位 (OUs),并向每个 OU 附加不同的访问策略。例如,如果您的账户只能访问符合特定监管要求的 AWS 服务 ,则可以将这些账户存入一个 OU。然后,您可以将策略附加到该 OU,这将阻止访问未满足这些法规要求的服务。您可以在其他层次OUs内嵌OUs入五个级别,从而灵活地构建账户组。
- 用于集中控制每个账户可以 AWS 服务 访问的和API操作的政策
-
作为组织管理账户的管理员,您可以使用服务控制策略 (SCPs) 来指定组织中成员账户的最大权限。在中SCPs,您可以限制每个成员账户中的用户和角色可以访问哪些 AWS 服务、资源和个人API操作。您还可以定义何时限制访问权限 AWS 服务、资源和API操作的条件。这些限制甚至会覆盖组织内的成员账户的管理员。当 AWS Organizations 阻止成员账户访问服务、资源或API操作时,该账户中的用户或角色将无法访问该服务、资源或操作。即使成员账户的管理员在IAM策略中明确授予此类权限,此封锁仍然有效。
有关更多信息,请参阅 服务控制策略 (SCPs)。
- 在组织账户中跨资源标准化标签的策略
-
您可以使用标签策略来维护一致的标签,包括标签键和标签值的首选大小写处理。
有关更多信息,请参阅 标签策略
- 控制 AWS 人工智能 (AI) 和机器学习服务如何收集和存储数据的策略。
-
对于您不想使用的任何 AI 服务,您可以使用 AWS AI 服务选择退出策略来选择不收集和存储数据。
有关更多信息,请参阅 AI 服务选择退出策略
- 为组织账户中的资源配置自动备份的策略
-
您可以使用备份策略为所有组织账户中的资源配置和自动应用 AWS Backup 计划。
有关更多信息,请参阅 备份策略
- 针对 AWS Identity and Access Management (IAM) 的集成和支持
-
IAM提供对个人账户中的用户和角色的精细控制。 AWS Organizations 允许您控制一个账户或一组账户中的用户和角色可以执行的操作,从而将控制权扩展到账户级别。由此产生的权限是账户 AWS Organizations 级别允许的权限与该账户内用户或角色级别明确授IAM予的权限的逻辑交集。换句话说,用户只能访问 AWS Organizations 策略和IAM策略允许的内容。如果任一策略阻止某个操作,用户将无法访问该操作。
- 与其他人集成 AWS 服务
-
您可以利用 selec AWS 服务 t 中 AWS Organizations 提供的多账户管理服务,对属于组织成员的所有账户执行任务。有关服务以及在组织范围级别使用每项服务的好处的列表,请参阅AWS 服务 你可以和它一起使用 AWS Organizations。
当你允许某项 AWS 服务在组织的成员账户中代表你执行任务时, AWS Organizations 会在每个成员账户中为该IAM服务创建一个与服务相关的角色
。服务相关角色具有预定义的IAM权限,允许其他 AWS 服务在您的组织及其账户中执行特定任务。为正常工作,组织中的所有账户都会自动具有服务相关角色。此角色使 AWS Organizations 服务能够创建您 AWS 服务 为其启用可信访问所需的服务相关角色。这些额外的服务相关角色附加到IAM权限策略,这些策略允许指定的服务仅执行您的配置选择所要求的任务。有关更多信息,请参阅 与其他 AWS Organizations 人一起使用 AWS 服务。 - 全局访问
-
AWS Organizations 是一项具有单个端点的全球服务,可以从任何端点运行 AWS 区域。您无需明确地选择要在其中操作的区域。
- 具备最终一致性的数据复制
-
AWS Organizations,像许多其他人一样 AWS 服务,最终是一致
的。 AWS Organizations 通过在其区域内数据中心的多台服务器上复制 AWS 数据来实现高可用性。如果成功请求更改某些数据,则更改会提交并安全存储。但是,之后必须在多个服务器中复制此更改。有关更多信息,请参阅 我所做的更改不总是立即可见。
- 免费使用
-
AWS Organizations 是您 AWS 账户 提供的功能,无需额外付费。只有当你 AWS 服务 从组织中的其他账户访问其他账户时,你才需要付费。有关其他 AWS 产品定价信息,请参阅亚马逊云科技定价页
。
AWS Organizations 定价
AWS Organizations 不收取额外费用。您只需为成员账户中的用户和角色使用的 AWS 资源付费。例如,对于您的成员账户中的用户或角色所使用的 Amazon EC2 实例,您需要支付标准费用。有关其他定价的信息 AWS 服务,请参阅AWS 定价
正在访问 AWS Organizations
您可以通过以下任何一种方式使用 AWS Organizations :
- AWS Management Console
-
AWS Organizations 控制台
是一个基于浏览器的界面,可用于管理您的 AWS 组织和资源。您可以使用控制台在组织中执行任何任务。 - AWS 命令行工具
-
使用 AWS 命令行工具,你可以在系统的命令行中发出命令来执行 AWS Organizations 和执行 AWS 任务。与使用控制台相比,使用命令行处理更快、更方便。如果要构建执行 AWS 任务的脚本,命令行工具也会十分有用。
AWS 提供了两组命令行工具:
-
AWS Command Line Interface
(AWS CLI)。 有关安装和使用的信息 AWS CLI,请参阅《AWS Command Line Interface 用户指南》。 -
AWS Tools for Windows PowerShell
。 有关安装和使用适用于 Windows 的工具的信息 PowerShell,请参阅《AWS Tools for Windows PowerShell 用户指南》。
-
- AWS SDKs
-
AWS SDKs由适用于各种编程语言和平台(例如 Java、Python、Ruby 等)的库和示例代码组成。 NET、iOS 和安卓)。它们SDKs负责处理诸如对请求进行加密签名、管理错误和自动重试请求之类的任务。有关(包括如何下载和安装它们)的更多信息 AWS SDKs,请参阅适用于 Amazon Web Services 的工具
。 - AWS Organizations HTTPS查询 API
-
通过 AWS Organizations HTTPS查询API,您可以通过编程访问 AWS Organizations 和 AWS。API通过HTTPS查询,您可以直接向服务发出HTTPS请求。使用时,必须包含代码 HTTPSAPI,以便使用您的凭据对请求进行数字签名。有关更多信息,请参阅API通过发出HTTP查询请求来调用和参AWS Organizations API考。
的 Support 和反馈 AWS Organizations
我们欢迎您提供反馈。您可以将评论发送到 feedback-awsorganizations@amazon.com
其他 AWS 资源
-
AWS 培训和课程
— 指向基于角色的课程和专业课程以及自定进度的实验室的链接,可帮助您提高 AWS 技能并获得实践经验。 -
AWS 开发工具
– 指向开发工具和资源的链接,其中提供了文档、代码示例、发布说明和有助于您利用 AWS构建创新应用程序的其他信息。 -
AWS Support 中心
— 用于创建和管理 Support AWS 案例的中心。还包括指向其他有用资源的链接,例如论坛、技术FAQs、服务运行状况和 T AWS rusted Advisor。 -
AWS Support — AWS 提供有关 Support 信息的主要网页 one-on-one,这是一个快速响应的支持渠道,可帮助您在云中构建和运行应用程序。
-
联系我们
— 查询 AWS 账单、账户、事件、滥用行为和其他问题的中央联络点。 -
AWS 网站条款
— 有关我们的版权和商标、您的帐户、许可证和网站访问权限以及其他主题的详细信息。