AWS Organizations 简介

Amazon Web Service Organizations 是一项账户管理服务，可以将多个AWS账户整合到其中管理的组织中，包含账户管理和账单整合。进而满足企业的预算，安全性和合规性。同时，可以在组织中创建账户并要求现有账户加入组织中。

使用场景：

1. 跨国企业或集团企业，总公司与分公司或区域间的账号体系管理。

2. 公司内部按不同的业务部门划分账号体系。

3. MSP 

 

AWS Organizations 功能：

1. 集中管理所有AWS账户。
2. 所有成员账户的整合账单。
3. 对账户进行分层分组以满足预算、安全性或合规性需求。
4. 集中控制每个账户可访问的AWS服务和API操作的策略。管理员可以使用服务控制策略SCP指定成员账户的最大权限数。在SCP中，可以限制每个成员账户的用户和角色可以访问的AWS服务，资源和各API操作，以及相应的访问条件
5. 在组织账户中跨资源标准化标签策略。
6. 控制AWS AI和机器学习服务可以收集和存储数据的策略。
7. 为组织账户中的资源配置自动备份的策略-AWS backup。
8. 针对IAM的集成和支持。

 

AWS Organizations 术语和概念：

场景：下图显示了一个包含五个账户的基本组织，这些账户在根下分为四个组织部门（OU）。此外，该组织还有一些策略附加到其中部分 OU 或者直接附加到账

 

 

组织：

合并AWS账户而创建的实体。可以集中查看和管理组织内的所有账户。

一个组织有一个管理账户，以及0个或多个成员账户。

1. 可以以分层树状结果组织账户，将跟放在树顶部，组织部门嵌套在根下。

 2. 每个账户都可以直接放在根中，也可以放在层次结果的其中一个OU中。

 3. 一个组织的功能由启用的功能集决定。

 

Root：

组织中所有账户的父节点。如果将一个策略附加到根，则它应用于组织中的所有组织部门(OU)和账户。

Note： 只能有一个root。AWS Organization 将在创建组织时自动创建root。

             invite 已有AWS账户加入Organization，此已有账户不能已存在Organization。

 

组织部门-OU

根中账户的容器。

OU可以包含其他OU，至此可以创建类似于倒置树的层次结果，根位于顶部，OU分支向下延伸，结束于作为树叶的账户。

当策略附加到层次结构中的其中一个节点时，策略会向下流动，影响该父节点下的所有分支(OU)和树叶(账户)。

一个OU有且仅有一个父级。

 

账户：

Organization中的账户是标准AWS账户，其中包含AWS资源以及可以访问这些资源的身份。

Note：AWS账户与“用户账户”并非同一账户。

             AWS用户是使用IAM创建的身份，其形式为具有长期凭证的IAM用户，或具有短期凭证的IAM角色。

             AWS账户可以而且通常包含许多用户和角色。

 

组织中有两类账户：

一类为管理账户的单个账户；

一类为一个或多个的成员账户。

 

管理账户：用于创建组织的账户。

从组织的管理账户中，可以执行以下操作：

• 在组织中创建账户
• 邀请其他账户加入组织
• 从组织中删除账户
• 管理邀请
• 将策略应用到组织内的实体(根，OU或账户)
• 启用与支持的AWS服务的集成，以便为组织中的所有账户提供服务功能

       管理账户具有付款人账户的责任，并负责支付成员账户产生的所有费用。无法更改一个组织的管理账户。

成员账户：组成组织中的所有账户的其余部分。一个账户一次只能是一个组织的成员账户。可以将策略附加到账户，以仅对这个账户进行控制。

 

邀请：邀请其他账户加入组织的过程。

• 邀请只能由组织的管理账户发出。
• 邀请扩展到与受邀账户相关联的账户ID或邮箱地址。
• 如果组织需要所有当前成员账户批准将仅支持整合账单功能更改为支持组织中的所有功能，也可以将邀请发送到所有成员。通过交换握手信息，对各个账户发出邀请。在 AWS Organizations 控制台中处理时，您可能看不到握手。但是，如果您使用 AWS CLI 或 AWS Organizations API，则必须直接处理握手。

握手：

在双方之间交换信息的多步骤过程。它在 AWS Organizations 中的一项主要用途就是作为邀请的底层实施。握手消息在握手发起方和接收方之间传递并由双方进行响应。消息的传递方式有助于确保双方知道当前状态是什么。将组织从仅支持整合账单功能更改为支持 提供的所有功能AWS Organizations时，也可以使用握手。

仅当使用AWS Organizations API或AWS CLI时，通常需要直接与握手交互。

 

可用的功能集：

•  所有功能
•  整合账单

 服务控制策略(SCP)：

 

允许列表和拒绝列表：

•  允许列表策略： 默认为FullAWSAccess
•  拒绝列表策略：使用拒绝列表时，会保留默认 FullAWSAccess 策略（允许“全部”）。但是，可以附加额外的策略，明确拒绝 访问不需要的服务和操作。 与使用 IAM 权限策略一样，显式拒绝服务操作将覆盖该操作的任何允许规则。

 

 人工智能AI服务选择退出策略：

 备份策略：

 标签策略：

 

End..........................................