AWS Organizations 術語和概念 - AWS Organizations

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Organizations 術語和概念

為了協助您開始使用 AWS Organizations,本主題將說明一些重要概念。

下圖顯示由五個帳戶組成的基本組織,這些帳戶在根目錄下組織成四個組織單位 (OUs)。該組織也有數個策略,這些策略附加到某些帳戶OUs或直接附加到帳戶。對於每個項目的描述,請參閱本主題中的定義。

基本組織的圖表
組織

您建立用來合併 AWS 帳戶的實體,以便您可以將其作為單一單位進行管理。您可以使用 AWS Organizations 主控台來集中檢視和管理您組織內的所有帳戶。組織具有一個管理帳戶,以及零個或多個成員帳戶。您可以將帳戶組織為階層式、類似樹狀目錄的結構,其中的根帳戶位於上方,而組織單位在根帳戶下形成巢狀。每個帳戶都可以直接位於根目錄中,也可以放置在階層中的其OUs中一個帳戶中。組織具有的功能取決於您啟用的功能集

根帳戶

組織中所有帳戶的父系容器。如果您將授權原則套用至根目錄,它會套用至組織中的所有組織單位 (OUs)成員帳戶。如果您將管理策略套用至根目錄,它會套用至所有組織單位 (OUs) 和帳戶,包括組織中的管理帳戶。

注意

目前,您只能有一個根。 AWS Organizations 當您建立組織時,會自動為您建立組織。

組織單位 (OU)

帳戶的容器。OU 也可以包含其他 OUOUs,可讓您建立類似於上下顛倒樹狀結構的階層,其頂端有根,而其分支往下延伸OUs,結束於樹狀結構葉子的帳戶。當您將策略附加到階層中的其中一個節點時,它會向下流動並影響其下的所有分支(OUs)和離開(帳戶)。OU 可以確切有一個父系,而目前的每個帳戶可以確切是一個 OU 的成員。

帳戶

Organizations 中的帳號是一種標準 AWS 帳戶 ,其中包含您的 AWS 資源以及可存取這些資源的身分識別。

提示

AWS 帳戶與使用者帳戶不一樣。使用AWS 者是您使用 AWS Identity and Access Management (IAM) 建立的身分,並採用具有長期認證的使用IAM者或具有短期認證的IAM角色的形式。單一 AWS 帳戶可以,而且通常確實包含許多使用者和角色。

組織中有兩種類型帳戶:指定為管理帳戶的單一帳戶,以及一個或多個成員帳戶。

  • 管理帳戶是您用於建立組織的帳戶。您可以從組織的管理帳戶執行下列操作:

    • 建立組織中的帳戶

    • 邀請其他現有的帳戶加入組織

    • 從組織移除帳戶

    • 指定委派管理員帳戶

    • 管理邀請

    • 將策略套用至組織內的實體 (根或帳戶) OUs

    • 啟用與支援的整合, AWS 服務 以在組織中的所有帳戶之間提供服務功能。

    管理帳戶擁有付款人帳戶的責任,並要負責支付成員帳戶累積的所有費用。您無法變更組織的管理帳戶。

  • 成員帳戶構成了組織中的所有其餘賬戶。一個帳戶一次只能是一個組織的成員。您可以將政策連接至帳戶,以僅對該單一帳戶套用控制。

    注意

    您可以將某些成員帳戶指定為委派管理員帳戶。請參閱下面的委派管理員

委派的管理員

我們建議您僅將 Organizations 管理帳戶及其使用者和角色用於僅由該帳戶執行的任務。我們建議您將 AWS 資源存放在組織內其他成員帳戶中,且將其保存在管理帳戶之外。這是因為像 Organizations 服務控制原則 (SCPs) 這樣的安全性功能不會限制管理帳戶中的任何使用者或角色。將資源與管理帳戶分開,也可協助您瞭解發票上的費用。從組織的管理帳戶中,您可以將一或多個成員帳戶指定為委派管理員帳戶以協助您實作此建議。委派管理員有兩種類型:

  • 委派組 Organizations 管理員:您可以從這些帳戶管理組織策略,OUs並將策略附加至組織內的實體 (根或帳戶)。管理帳戶可以在細微層級控制委派權限。如需更多資訊,請參閱委派的管理員 AWS Organizations

  • 委派 AWS 服務的管理員:您可以從這些帳戶管理 AWS 服務 與「Organizations」整合的帳戶。管理帳戶可以根據需要將不同的會員帳戶註冊為委派管理員。這些帳戶具有特定服務的管理權限,以及 Organizations 唯讀動作的權限。如需更多資訊,請參閱 與 Organizations 合作 AWS 服務 的委派管理員

邀請

要求另一個帳戶加入組織的程序。只能由組織的管理帳戶發出邀請。邀請會延伸到與受邀帳戶相關聯的帳戶 ID 或電子郵件地址。獲邀請的帳戶接受邀請之後,就會變成組織中的成員帳戶。當組織需要所有成員核准從僅支援合併帳單功能變更為支援組織中所有功能的變更時,您也可以將邀請傳送到所有目前的成員帳戶。透過帳戶交換交握,邀請便可運作。您在 AWS Organizations 主控台可能看不到交握。但是,如果您使用 AWS CLI 或 AWS Organizations API,則必須直接使用握手。

交握

兩方之間交換資訊的多步驟程序。中的其中一個主要用途 AWS Organizations 是作為邀請的基礎實作。交握發起方和接收發之間會傳遞和回應交握訊息。訊息的傳遞方式有助於確保雙方知道目前狀態。將組織從僅支援合併計費功能變更為支援提供的所有功能時, AWS Organizations 也會使用交握。一般而言,只有在使用 AWS Organizations API或指令行工具 (例如. AWS CLI

可用的功能集

  • 所有功能 — 可用於的預設功能集 AWS Organizations。其中包含合併帳單的所有功能,還有可讓您進一步控制組織中帳戶的進階功能。例如,啟用所有功能時,組織的管理帳戶對於成員帳戶可以執行的操作具有完全控制。管理帳戶可以套用SCPs來限制使用者 (包括 root 使用者) 和帳號中角色可存取的服務和動作。管理帳戶也可以防止成員帳戶離開組織。您也可以啟用與支援的整合, AWS 服務 讓這些服務在組織中的所有帳戶之間提供功能。

    您可以建立已啟用所有功能的組織,或者您可以啟用最初只支援合併帳單功能之組織中的所有功能。若要啟用所有功能,所有獲邀請的成員帳戶必須透過接受在管理帳戶啟動程序時傳送的邀請來核准變更。

  • 合併帳單 — 此功能集提供共用帳單功能,但不包含的更進階功能 AWS Organizations。例如,您無法啟用其他人與您 AWS 服務 的組織整合以跨其所有帳戶工作,或使用政策來限制不同帳戶中的使用者和角色可執行的動作。若要使用進階 AWS Organizations 功能,您必須啟用組織中的所有功能

服務控制政策 (SCP)

一種策略,用於指定使用者和角色可在受SCP影響的帳號中使用的服務和動作。SCPs與IAM權限原則類似,不同之處在於它們不授與任何權限。請改為SCPs指定組織、組織單位 (OU) 或帳戶的最大權限。當您附加SCP至組織根目錄或 OU 時,會SCP限制成員帳戶中實體的權限。

允許清單與拒絕清單

允許清單和拒絕清單是互補策略,您可以用SCPs來套用這些策略來篩選帳戶可用的權限。

  • 允許清單策略 – 您明確指定允許的存取。所有其他存取權均已隱含封鎖。根據預設,會 AWS Organizations 將名為的 AWS 受管理策略附加FullAWSAccess到所有根和帳戶。OUs這有助於確保在您建立組織時,除非您希望進行封鎖,否則不會封鎖任何項目。換句話說,在預設情況下,所有許可均獲授與。在您準備好限制許可時,可以取代 FullAWSAccess 政策,其中一個只允許更有限、所需的許可集合。受影響帳戶中的使用者和角色只能行使該等級的存取權限,即使他們的IAM策略允許所有動作也是如此。如果您取代根帳戶上的預設政策,組織中的所有帳戶都會受限制影響。您無法將權限新增回階層中較低層級的層級,因為SCP永遠不會授予權限;它只會篩選它們。

  • 拒絕清單策略 – 您明確指定不允許的存取。所有其他存取權均獲授與。在此情況下,除非明確封鎖許可,否則會允許所有許可。這是的預設行為 AWS Organizations。根據預設,會 AWS Organizations 將名為的 AWS 受管理策略附加FullAWSAccess到所有根和帳戶。OUs這允許任何帳戶訪問任何服務或操作沒有 AWS Organizations-施加的限制。與上述允許清單技術不同,當使用拒絕清單時,您通常會保留預設的 FullAWSAccess 政策 (「全部」允許)。但接著您會連接其他政策,以明確拒絕存取不需要的服務和動作。就像使用IAM權限原則一樣,明確拒絕服務動作會覆寫該動作的任何允許。

AI 服務選擇退出政策

一種政策類型,可協助您在組織中的所有帳戶中標準化 AWS AI 服務的退出設定。某些 AWS AI 服務可以存放和使用這些服務處理的客戶內容,以開發和持續改進 Amazon AI 服務和技術。身為 AWS 客戶,您可以使用 AI 服務選擇退出政策,選擇不儲存或使用您的內容來改善服務。

備份政策

一種政策類型,可協助您將組織中所有帳戶的資源標準化及實作備份政策。在備份政策中,您可以為您的資源設定和部署備份計劃。

標籤政策

一種政策類型,可協助您標準化組織帳戶中所有帳戶各資源的標籤。在標籤政策中,您可以為特定資源指定標記規則。