本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
什麼是 AWS Organizations?
AWS Organizations 是一種帳戶管理服務,可讓您將多個 AWS 帳戶 合併成一個組織,讓您可以建立和集中管理。AWS Organizations 包括帳戶管理和合併帳單功能,可讓您更符合您商業的預算、安全及合規需求。身為組織的管理員,您可以在您的組織中建立帳戶,並邀請現有的帳戶加入組織。
此使用者指南會定義AWS Organizations 的主要概念,提供 教學課程,並解釋如何建立和管理組織。
AWS Organizations 功能
AWS Organizations 提供下列功能:
- 集中管理所有 AWS 帳戶
-
您可以將現有帳戶合併到可讓您集中管理帳戶的組織。您可以建立會自動成為組織一部分的帳戶,也可以邀請其他帳戶來加入您的組織。您也可以連接會影響您的部分或所有帳戶的政策。
- 所有成員帳戶合併的帳單
-
合併帳單為 AWS Organizations 的功能。您可以使用組織的管理帳戶來合併並為所有成員帳戶支付費用。在合併帳單中,管理帳戶也可以存取其組織中成員帳戶的帳單資訊、帳戶資訊和帳戶活動。此資訊可用於 Cost Explorer 之類的服務,這可協助管理帳戶改善組織的成本績效。
- 將帳戶階層分組,以滿足您的預算、安全或合規需求
-
您可以將帳戶分組為組織單位 (OU),並將不同的存取政策連接到每個 OU。例如,如果您的帳戶必須只能存取符合特定法規要求的 AWS 服務,您可以將這些帳戶放到一個 OU。然後,您可以將政策連接到該 OU,該政策會封鎖對不符合這些法規要求服務的存取。您可以在其他 OU 內形成巢狀 OU,成為五層的深度,對您建構帳戶群組的方式提供彈性。
- 集中控制每個帳戶能存取的 AWS 服務及 API 動作的政策
-
身為組織管理帳戶的管理員,您可以使用服務控制政策 (SCP) 來指定組織中成員帳戶的許可數量上限。在 SCP 中,您可以限制每個成員帳戶中使用者和角色所能存取的 AWS 服務、資源及個別 API 動作。您也可以定義條件,決定何時要限制 AWS 服務、資源及 API 動作的存取。這些限制甚至會覆寫組織中成員帳戶的管理員。當 AWS Organizations 禁止成員帳戶存取服務、資源或 API 動作時,該帳戶中的使用者或角色就無法存取這些項目。即使成員帳戶的管理員在 IAM 政策中明確授與這類許可,此封鎖仍然有效。
如需詳細資訊,請參閱 服務控制政策 (SCP)。
- 標準化組織帳戶中各資源標籤的政策
-
您可以使用標籤政策來維護標籤的一致性,包括標籤索引鍵和標籤值的慣用大小寫處理。
如需詳細資訊,請參閱標籤政策
- 控制 AWS 人工智慧 (AI) 和機器學習服務如何收集和存放資料的政策。
-
您可以使用 AI 服務選擇退出政策,為您不想使用的任何 AWS AI 服務選擇退出資料收集和儲存。
如需詳細資訊,請參閱AI 服務選擇退出政策
- 為組織帳戶中資源設定自動備份的政策
-
您可以使用備份政策來設定並將 AWS Backup 計劃自動套用至您組織所有帳戶的資源。
如需詳細資訊,請參閱備份政策
- AWS Identity and Access Management (IAM) 的整合與支援
-
IAM 可提供個別帳戶中使用者及角色的細微控制。AWS Organizations 則會將該控制擴展至帳戶層級,讓您控制帳戶或帳戶群組中的使用者和角色能執行的作業。產生的許可為 AWS Organizations 在帳戶層級允許之許可與 IAM 在該帳戶內的使用者或角色層級所明確授予之許可的邏輯交集。換句話說,使用者只能存取 AWS Organizations 政策和 IAM 政策均允許的內容。若任一項政策封鎖了操作,使用者即無法存取該操作。
- 與其他 AWS 服務整合
-
您可以利用 AWS Organizations 中提供的多帳戶管理服務,搭配選取的 AWS 服務,在您所有的組織成員帳戶上執行任務。如需服務清單及了解在全組織層級上使用每個服務的優點,請參閱AWS 您可以搭配使用的服務 AWS Organizations。
在組織的成員帳戶中啟用 AWS 服務以代表您執行任務時,AWS Organizations 會在每個成員帳戶中建立 IAM 服務連結角色
。此服務連結角色具有預先定義的 IAM 許可,允許另一項 AWS 服務在組織和其帳戶中執行特定任務。為此,組織中的所有帳戶都自動具有服務連結角色。此角色允許 AWS Organizations 服務,針對您啟用信任存取的 AWS 服務,建立所需的服務連結角色。這些額外的服務連結角色連接至 IAM 許可政策,可讓指定的服務僅執行組態選項所需的任務。如需詳細資訊,請參閱 搭配使用 AWS Organizations 與其他 AWS 服務。 - 全域存取
-
AWS Organizations 是一項全域服務,具有適用於任何和所有 AWS 區域 的單一端點。您不需要明確選取要在其中運作的區域。
- 最終一致的資料複寫
-
與許多其他 AWS 服務一樣,AWS Organizations 最終一致
。AWS Organizations 在其區域內的 AWS 資料中心,跨多部伺服器複寫資料,以達到高可用性。如果變更一些資料的請求成功完成,則該變更經認可並安全儲存。不過,變更必須在多個伺服器間進行複製。如需詳細資訊,請參閱 我所做的變更不一定都會立即顯示。
- 免費使用
-
AWS Organizations 是 AWS 帳戶 可享的一項功能,無須額外付費。只有在您從組織中的帳戶訪問其他 AWS 服務時才需要付費。如需有關其他 AWS 產品的定價資訊,請參閱 Amazon Web Services 定價頁面
。
AWS Organizations 定價
AWS Organizations 免費提供。您只需為您的成員帳戶中的使用者和角色使用的 AWS 資源付費。例如,您需針對您的成員帳戶中的使用者或角色使用的 Amazon EC2 執行個體支付標準費用。如需其他 AWS 服務定價的相關資訊,請參閱 AWS 定價
存取 AWS Organizations
您可以透過以下任何方式來使用 AWS Organizations:
- AWS Management Console
-
AWS Organizations 主控台
是一種以瀏覽器為基礎的界面,可供您用來管理您的組織和 AWS 資源。您可以使用主控台在您的組織中執行任何任務。 - AWS 命令列工具
-
您可以使用 AWS 命令列工具,在系統的命令列發出命令,以執行 AWS Organizations 和 AWS 任務。使用命令列比使用主控台更快、更方便。若您想要建構執行 AWS 任務的指令碼,命令列工具也非常實用。
AWS 提供兩組命令列工具:
-
AWS Command Line Interface
(AWS CLI). 如需安裝與使用 AWS CLI 的相關資訊,請參閱 AWS Command Line Interface 使用者指南。 -
AWS Tools for Windows PowerShell
. 如需安裝和使用 Tools for Windows PowerShell 的詳細資訊,請參閱 AWS Tools for Windows PowerShell 使用者指南。
-
- AWS SDK
-
AWS SDK 以程式庫以及適用於多種程式設計語言及平台 (Java、Python、Ruby、.NET、iOS、Android 等) 的範本程式碼所組成。SDK 會負責的工作諸如以密碼演算法簽署請求、管理錯誤以及自動重試請求。如需 AWS SDK 的其他資訊 (包括如何下載並安裝開發套件),請參閱 Amazon Web Services 工具
。 - AWS Organizations HTTPS 查詢 API
-
AWS Organizations HTTPS 查詢 API 可讓您以程式設計方式存取 AWS Organizations 和 AWS。HTTPS 查詢 API 可讓您直接向該服務發出 HTTPS 請求。當您使用 HTTPS API 時,必須包含使用您的憑證來數位簽署請求的程式碼。如需詳細資訊,請參閱執行 HTTP 查詢請求來呼叫 API 和 AWS Organizations API 參考。
AWS Organizations 的支援和意見回饋
我們誠摯歡迎您提供意見回饋。您可將意見傳送至 feedback-awsorganizations@amazon.com
其他 AWS 資源
-
AWS 培訓與課程
– 連結至以角色為基礎的專門課程與自主進度實驗室,以協助加強您的 AWS 技能,並取得實際體驗。 -
AWS 開發人員工具
– 連結至開發人員工具與資源,其提供文件、程式碼範例、版本備註與其他資訊,以協助您使用 AWS 來建置創新的應用程式。 -
AWS Support 中心
– 建立並管理您的 AWS 支援案例的中樞。同時包含與其他實用資源的連結,例如論壇、常見技術問答集、服務運作狀態,以及 AWS Trusted Advisor。 -
AWS Support
– AWS Support 相關資訊的主要網頁,為一對一的快速回應支援頻道,可協助您在雲端中建置並執行應用程式。 -
聯絡我們
– 查詢有關 AWS 帳單、帳戶、事件、濫用與其他問題的聯絡中心。 -
AWS 網站條款
‒ 我們的著作權與商標;您的帳戶、授權與網站存取;以及其他主題的詳細資訊。