什么是 AWS Organizations？

AWS Organizations 是一项账户管理服务，可让您将多个账户整合 AWS 账户 到一个由您创建和集中管理的组织中。 AWS Organizations 包括账户管理和整合账单功能，使您能够更好地满足企业的预算、安全和合规需求。作为组织的管理员，您可以在组织中创建账户并邀请现有账户加入组织。

本用户指南定义了组织的关键概念 AWS Organizations，提供了教程，并解释了如何创建和管理组织。

AWS Organizations features

AWS Organizations 提供以下功能：

集中管理您的所有内容 AWS 账户

您可以将您的现有账户并入组织中，以便集中管理这些账户。您可以创建自动成为组织的一部分的账户，并且您可以邀请其他账户加入您的组织。您也可以附加将影响您的部分或所有账户的策略。

所有成员账户的整合账单

整合账单是的一项功能 AWS Organizations。您可以使用自己所属组织的管理账户，来整合所有成员账户，并为成员账户进行支付。在整合账单中，管理账户还可以访问其组织中成员账户的账单信息、账户信息和账户活动。此信息可用于诸如 Cost Explorer 之类的服务，这些服务可以帮助管理账户提高其组织的成本性能。

对账户进行分层分组以满足预算、安全性或合规性需求

您可以将账户分组为组织单位 (OUs)，并向每个 OU 附加不同的访问策略。例如，如果您的账户只能访问符合特定监管要求的 AWS 服务 ，则可以将这些账户存入一个 OU。然后，您可以将策略附加到该 OU，这将阻止访问未满足这些法规要求的服务。您可以在其他层次OUs内嵌OUs入五个级别，从而灵活地构建账户组。

用于集中控制每个账户可以 AWS 服务 访问的和API操作的政策

作为组织管理账户的管理员，您可以使用服务控制策略 (SCPs) 来指定组织中成员账户的最大权限。在中SCPs，您可以限制每个成员账户中的用户和角色可以访问哪些 AWS 服务、资源和个人API操作。您还可以定义何时限制访问权限 AWS 服务、资源和API操作的条件。这些限制甚至会覆盖组织内的成员账户的管理员。当 AWS Organizations 阻止成员账户访问服务、资源或API操作时，该账户中的用户或角色将无法访问该服务、资源或操作。即使成员账户的管理员在IAM策略中明确授予此类权限，此封锁仍然有效。

有关更多信息，请参阅 服务控制策略 (SCPs)。

在组织账户中跨资源标准化标签的策略

您可以使用标签策略来维护一致的标签，包括标签键和标签值的首选大小写处理。

有关更多信息，请参阅 标签策略

控制 AWS 人工智能 (AI) 和机器学习服务如何收集和存储数据的策略。

对于您不想使用的任何 AI 服务，您可以使用 AWS AI 服务选择退出策略来选择不收集和存储数据。

有关更多信息，请参阅 AI 服务选择退出策略

为组织账户中的资源配置自动备份的策略

您可以使用备份策略为所有组织账户中的资源配置和自动应用 AWS Backup 计划。

有关更多信息，请参阅 备份策略

针对 AWS Identity and Access Management (IAM) 的集成和支持

IAM提供对个人账户中的用户和角色的精细控制。 AWS Organizations 允许您控制一个账户或一组账户中的用户和角色可以执行的操作，从而将控制权扩展到账户级别。由此产生的权限是账户 AWS Organizations 级别允许的权限与该账户内用户或角色级别明确授IAM予的权限的逻辑交集。换句话说，用户只能访问 AWS Organizations 策略和IAM策略允许的内容。如果任一策略阻止某个操作，用户将无法访问该操作。

与其他人集成 AWS 服务

您可以利用 selec AWS 服务 t 中 AWS Organizations 提供的多账户管理服务，对属于组织成员的所有账户执行任务。有关服务以及在组织范围级别使用每项服务的好处的列表，请参阅AWS 服务 你可以和它一起使用 AWS Organizations。

当你允许某项 AWS 服务在组织的成员账户中代表你执行任务时， AWS Organizations 会在每个成员账户中为该IAM服务创建一个与服务相关的角色。服务相关角色具有预定义的IAM权限，允许其他 AWS 服务在您的组织及其账户中执行特定任务。为正常工作，组织中的所有账户都会自动具有服务相关角色。此角色使 AWS Organizations 服务能够创建您 AWS 服务 为其启用可信访问所需的服务相关角色。这些额外的服务相关角色附加到IAM权限策略，这些策略允许指定的服务仅执行您的配置选择所要求的任务。有关更多信息，请参阅 与其他 AWS Organizations 人一起使用 AWS 服务。

全局访问

AWS Organizations 是一项具有单个端点的全球服务，可以从任何端点运行 AWS 区域。您无需明确地选择要在其中操作的区域。

具备最终一致性的数据复制

AWS Organizations，像许多其他人一样 AWS 服务，最终是一致的。 AWS Organizations 通过在其区域内数据中心的多台服务器上复制 AWS 数据来实现高可用性。如果成功请求更改某些数据，则更改会提交并安全存储。但是，之后必须在多个服务器中复制此更改。有关更多信息，请参阅 我所做的更改不总是立即可见。

免费使用

AWS Organizations 是您 AWS 账户 提供的功能，无需额外付费。只有当你 AWS 服务 从组织中的其他账户访问其他账户时，你才需要付费。有关其他 AWS 产品定价信息，请参阅亚马逊云科技定价页。

AWS Organizations 定价

AWS Organizations 不收取额外费用。您只需为成员账户中的用户和角色使用的 AWS 资源付费。例如，对于您的成员账户中的用户或角色所使用的 Amazon EC2 实例，您需要支付标准费用。有关其他定价的信息 AWS 服务，请参阅AWS 定价。

正在访问 AWS Organizations

您可以通过以下任何一种方式使用 AWS Organizations ：

AWS Management Console

AWS Organizations 控制台是一个基于浏览器的界面，可用于管理您的 AWS 组织和资源。您可以使用控制台在组织中执行任何任务。

AWS 命令行工具

使用 AWS 命令行工具，你可以在系统的命令行中发出命令来执行 AWS Organizations 和执行 AWS 任务。与使用控制台相比，使用命令行处理更快、更方便。如果要构建执行 AWS 任务的脚本，命令行工具也会十分有用。

AWS 提供了两组命令行工具：

• AWS Command Line Interface(AWS CLI)。 有关安装和使用的信息 AWS CLI，请参阅《AWS Command Line Interface 用户指南》。

• AWS Tools for Windows PowerShell。 有关安装和使用适用于 Windows 的工具的信息 PowerShell，请参阅《AWS Tools for Windows PowerShell 用户指南》。

AWS SDKs

AWS SDKs由适用于各种编程语言和平台（例如 Java、Python、Ruby 等）的库和示例代码组成。 NET、iOS 和安卓）。它们SDKs负责处理诸如对请求进行加密签名、管理错误和自动重试请求之类的任务。有关（包括如何下载和安装它们）的更多信息 AWS SDKs，请参阅适用于 Amazon Web Services 的工具。

AWS Organizations HTTPS查询 API

通过 AWS Organizations HTTPS查询API，您可以通过编程访问 AWS Organizations 和 AWS。API通过HTTPS查询，您可以直接向服务发出HTTPS请求。使用时，必须包含代码 HTTPSAPI，以便使用您的凭据对请求进行数字签名。有关更多信息，请参阅API通过发出HTTP查询请求来调用和参AWS Organizations API考。

的 Support 和反馈 AWS Organizations

我们欢迎您提供反馈。您可以将评论发送到 feedback-awsorganizations@amazon.com。您也可以在 AWS Organizations 支持论坛上发布反馈和问题。有关 Su AWS pport 论坛的更多信息，请参阅论坛帮助。

其他 AWS 资源

• AWS 培训和课程 — 指向基于角色的课程和专业课程以及自定进度的实验室的链接，可帮助您提高 AWS 技能并获得实践经验。

• AWS 开发工具 – 指向开发工具和资源的链接，其中提供了文档、代码示例、发布说明和有助于您利用 AWS构建创新应用程序的其他信息。

• AWS Support 中心 — 用于创建和管理 Support AWS 案例的中心。还包括指向其他有用资源的链接，例如论坛、技术FAQs、服务运行状况和 T AWS rusted Advisor。

• AWS Support — AWS 提供有关 Support 信息的主要网页 one-on-one，这是一个快速响应的支持渠道，可帮助您在云中构建和运行应用程序。

• 联系我们 — 查询 AWS 账单、账户、事件、滥用行为和其他问题的中央联络点。

• AWS 网站条款 — 有关我们的版权和商标、您的帐户、许可证和网站访问权限以及其他主题的详细信息。