什麼是 AWS Organizations? - AWS Organizations

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS Organizations?

集中管理您的環境,同時擴展 AWS 資源

AWS Organizations 協助您集中管理和控管您的環境,隨著您的成長和擴充 AWS 的費用。使用 Organization,您可以建立帳戶並分配資源、將帳戶分組以組織工作流程、套用管理政策,以及針對所有帳戶使用單一付款方式來簡化計費。

Organizations 與其他組織整合 AWS 服務 因此,您可以定義中央組態、安全性機制、稽核需求,以及組織中帳號之間的資源共用。如需詳細資訊,請參閱AWS Organizations 與其他配合使用 AWS 服務

下圖顯示了如何使用的高級說明 AWS Organizations:

  • 新增帳戶

  • 群組帳戶

  • 套用原則

  • Enable AWS 服務.

此影像顯示如何 AWS Organizations 工作:添加帳戶,組帳戶,應用策略和啟用 AWS 服務.

功能 AWS Organizations

AWS Organizations 提供以下功能:

管理您的 AWS 帳戶

AWS 帳戶 是權限、安全性、成本和工作負載的自然界限。在擴展雲端環境時,建議使用多帳戶環境。您可以使用以程式設計方式建立新帳戶,以簡化帳戶建立 AWS Command Line Interface (AWS CLI)、或 SDKsAPIs,並集中佈建建議的資源和權限給那些具有 AWS CloudFormation StackSets.

定義和管理您的組織

當您建立新帳戶時,您可以將這些帳戶群組到組織單位 (OUs),或為單一應用程式或服務提供服務的帳戶群組。套用標籤原則來分類或追蹤組織中的資源,並為使用者或應用程式提供以屬性為基礎的存取控制。此外,您可以委派支援的責任 AWS 服務 帳戶,以便使用者可以代表您的組織管理它們。

保護和監控您的帳戶

您可以集中提供工具和存取權給您的安全團隊,以代表組織管理安全性需求。例如,您可以跨帳戶提供唯讀安全存取、使用 Amazon 偵測和緩解威脅 GuardDuty、使用存取分析器檢閱對資源的意外存IAM取,以及使用 Amazon Mac ie 保護敏感資料的安全。

控制存取和權限

設定 AWS IAM Identity Center提供訪問 AWS 帳戶 和資源使用您的活動目錄,並根據單獨的工作角色自定義權限。您也可以將服務控制策略 (SCPs) 套用至使用者、帳戶或OUs控制存取 AWS 組織內的資源、服務和區域。

跨帳戶共用資源

您可以分享 AWS 組織內使用的資源 AWS Resource Access Manager (AWS RAM). 例如,您可以建立一次 Amazon Virtual Private Cloud (AmazonVPC) 子網路,然後在整個組織中共用這些子網路。您也可以集中同意軟體授權 AWS License Manager,並在不同帳戶之間共用 IT 服務和自訂產品目錄 AWS Service Catalog.

稽核環境是否符合法規

您可以啟動 AWS CloudTrail跨帳戶,這會創建雲環境中的所有活動日誌,這些活動無法被成員帳戶關閉或修改。此外,您可以設置策略以在指定的速度上強制執行備份 AWS Backup,或定義跨帳號和資源的建議組態設定 AWS 區域 與 AWS Config.

集中管理帳單和成本

「Organizations」會提供您單一合併帳單。此外,您可以檢視跨帳戶資源的使用情況,並使用以下方式追蹤成本 AWS Cost Explorer,並最佳化您的運算資源使用 AWS Compute Optimizer.

使用案例 AWS Organizations

以下是一些用例: AWS Organizations:

自動化的創建 AWS 帳戶 並將工作負載分類

您可以自動創建 AWS 帳戶 以快速啟動新的工作負載。將帳戶新增至使用者定義的群組,以進行即時安全性原則應用、非接觸式基礎架構部署和稽核 建立不同的群組,將開發和生產帳戶分類,並使用 AWS CloudFormation StackSets為每個群組提供服務和權限。

定義並執行稽核與規範遵循原則

您可以套用服務控制原則 (SCPs),以確保使用者只執行符合安全性和合規性需求的動作。使用以下方法建立整個組織執行之所有動作的中央記錄 AWS CloudTrail。 檢視並強制執行跨帳號與標準資源組態 AWS 區域 使用 AWS Config。 自動套用定期備份 AWS Backup。 使用 AWS Control Tower套用預先封裝的治理規則,以確保您的安全性、營運和合規性 AWS 工作負載。

為您的安全團隊提供工具和存取權,同時鼓勵開發

建立安全性群組,並提供您所有資源的唯讀存取權,以識別並減輕安全性問題。您可以允許該群組管理 Amazon,以 GuardDuty便他們能夠主動監控和緩解工作負載的威脅,而 IAMAccess Analyzer 則可快速識別資源的意外存取權限。

跨帳戶共用通用資源

Organizations 可讓您輕鬆地跨帳戶共用重要的中央資源。例如,您可以共用您的中央 AWS Directory Service for Microsoft Active Directory讓應用程式可以存取您的中央識別身分存放區。

在您的帳戶間共用重要的中央資源

分享您的 AWS Directory Service for Microsoft Active Directory做為應用程式的中央身分識別存放區。使用 AWS Service Catalog在指定帳戶中共享 IT 服務,以便用戶可以快速發現和部署經批准的服務。透過集中定義一次,然後在組織之間共用應用程式資源,確保應用程式資源是在 Amazon Virtual Private Cloud (AmazonVPC) 子網路上建立的。AWS Resource Access Manager (AWS RAM).