本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
什麼是 AWS Organizations?
集中管理您的環境,同時擴展 AWS 資源
AWS Organizations 協助您集中管理和控管您的環境,隨著您的成長和擴充 AWS 的費用。使用 Organization,您可以建立帳戶並分配資源、將帳戶分組以組織工作流程、套用管理政策,以及針對所有帳戶使用單一付款方式來簡化計費。
Organizations 與其他組織整合 AWS 服務 因此,您可以定義中央組態、安全性機制、稽核需求,以及組織中帳號之間的資源共用。如需詳細資訊,請參閱AWS Organizations 與其他配合使用 AWS 服務。
下圖顯示了如何使用的高級說明 AWS Organizations:
新增帳戶
群組帳戶
套用原則
Enable AWS 服務.
主題
功能 AWS Organizations
AWS Organizations 提供以下功能:
- 管理您的 AWS 帳戶
-
AWS 帳戶 是權限、安全性、成本和工作負載的自然界限。在擴展雲端環境時,建議使用多帳戶環境。您可以使用以程式設計方式建立新帳戶,以簡化帳戶建立 AWS Command Line Interface (AWS CLI)、或 SDKsAPIs,並集中佈建建議的資源和權限給那些具有 AWS CloudFormation StackSets.
- 定義和管理您的組織
-
當您建立新帳戶時,您可以將這些帳戶群組到組織單位 (OUs),或為單一應用程式或服務提供服務的帳戶群組。套用標籤原則來分類或追蹤組織中的資源,並為使用者或應用程式提供以屬性為基礎的存取控制。此外,您可以委派支援的責任 AWS 服務 帳戶,以便使用者可以代表您的組織管理它們。
- 保護和監控您的帳戶
-
您可以集中提供工具和存取權給您的安全團隊,以代表組織管理安全性需求。例如,您可以跨帳戶提供唯讀安全存取、使用 Amazon 偵測和緩解威脅 GuardDuty、使用存取分析器檢閱對資源的意外存IAM取,以及使用 Amazon Mac ie 保護敏感資料的安全。
- 控制存取和權限
-
設定 AWS IAM Identity Center提供訪問 AWS 帳戶 和資源使用您的活動目錄,並根據單獨的工作角色自定義權限。您也可以將服務控制策略 (SCPs) 套用至使用者、帳戶或OUs控制存取 AWS 組織內的資源、服務和區域。
- 跨帳戶共用資源
-
您可以分享 AWS 組織內使用的資源 AWS Resource Access Manager (AWS RAM). 例如,您可以建立一次 Amazon Virtual Private Cloud (AmazonVPC) 子網路,然後在整個組織中共用這些子網路。您也可以集中同意軟體授權 AWS License Manager,並在不同帳戶之間共用 IT 服務和自訂產品目錄 AWS Service Catalog.
- 稽核環境是否符合法規
-
您可以啟動 AWS CloudTrail跨帳戶,這會創建雲環境中的所有活動日誌,這些活動無法被成員帳戶關閉或修改。此外,您可以設置策略以在指定的速度上強制執行備份 AWS Backup,或定義跨帳號和資源的建議組態設定 AWS 區域 與 AWS Config.
- 集中管理帳單和成本
-
「Organizations」會提供您單一合併帳單。此外,您可以檢視跨帳戶資源的使用情況,並使用以下方式追蹤成本 AWS Cost Explorer,並最佳化您的運算資源使用 AWS Compute Optimizer.
使用案例 AWS Organizations
以下是一些用例: AWS Organizations:
- 自動化的創建 AWS 帳戶 並將工作負載分類
-
您可以自動創建 AWS 帳戶 以快速啟動新的工作負載。將帳戶新增至使用者定義的群組,以進行即時安全性原則應用、非接觸式基礎架構部署和稽核 建立不同的群組,將開發和生產帳戶分類,並使用 AWS CloudFormation StackSets為每個群組提供服務和權限。
- 定義並執行稽核與規範遵循原則
-
您可以套用服務控制原則 (SCPs),以確保使用者只執行符合安全性和合規性需求的動作。使用以下方法建立整個組織執行之所有動作的中央記錄 AWS CloudTrail。 檢視並強制執行跨帳號與標準資源組態 AWS 區域 使用 AWS Config。 自動套用定期備份 AWS Backup。 使用 AWS Control Tower套用預先封裝的治理規則,以確保您的安全性、營運和合規性 AWS 工作負載。
- 為您的安全團隊提供工具和存取權,同時鼓勵開發
-
建立安全性群組,並提供您所有資源的唯讀存取權,以識別並減輕安全性問題。您可以允許該群組管理 Amazon,以 GuardDuty便他們能夠主動監控和緩解工作負載的威脅,而 IAMAccess Analyzer 則可快速識別資源的意外存取權限。
- 跨帳戶共用通用資源
-
Organizations 可讓您輕鬆地跨帳戶共用重要的中央資源。例如,您可以共用您的中央 AWS Directory Service for Microsoft Active Directory讓應用程式可以存取您的中央識別身分存放區。
- 在您的帳戶間共用重要的中央資源
-
分享您的 AWS Directory Service for Microsoft Active Directory做為應用程式的中央身分識別存放區。使用 AWS Service Catalog在指定帳戶中共享 IT 服務,以便用戶可以快速發現和部署經批准的服務。透過集中定義一次,然後在組織之間共用應用程式資源,確保應用程式資源是在 Amazon Virtual Private Cloud (AmazonVPC) 子網路上建立的。AWS Resource Access Manager (AWS RAM).